こんばんは。気になるネタはいろいろあるのですが、なかなか追いかけ切れていないのが現状です。<(_ _)>

　若干時間が経ってしまいましたが、三菱重工業でのテレワーク用PCがマルウェアに感染して、情報漏洩につながったという話題です。

www.security-next.com

　一番怖いのは「ほら見たことか！テレワークなんかしたことによって、情報漏洩が起きるんだ！だから、在宅勤務を止めて出勤するものとする！」というような流れになることです。とにかく出勤厨が多いので、ここでせっかく根付きかけたテレワークを止めてしまうのはどうかと思うのですよね。「具合が悪い事象が出てきたら都度改善する」でいいんじゃないでしょうか。

　ここで思考停止してしまわないように、この記事を読んで問題となりそうな項目を拾い出してみました。あくまで記事中の内容からの判断ですので、実情を反映していない場合もあり得ます。

1. テレワーク用PCが直接インターネット接続可能だった（ただし単体では無問題）
2. マルウェア対策ソフトがインストールされていたのか？
3. そのまま社内NWに接続する運用が拙いのでは？（ただし条件付き）
4. サーバの特権アカウントの管理が拙いのでは？
5. テレワーク用PCと社内NW用PCは別にすべきでは？

　このあたりを考えたのですが、テレワーク用PC（業務用モバイル端末）でのVPN利用強制となると、社内NWのゲートウェイ部分をかなり強化しないと成立しないのではないかという懸念があります。Office365などを筆頭に、クラウド前提のアプリケーションを使う場合にNW的問題が出て来そうです。その点を鑑みると、単純に従来の考え方では運用が成り立たなくなる可能性もあります。

　また、テレワーク用PCのネットワークインターフェースが複数存在することにより、「抜け道」が出来てしまうという問題もあります。有線LAN用のEthernetポート、無線LAN用のWi-Fiモジュール、Bluetooth用モジュール、LTE接続用のモジュールなど複数存在します。

　こうなると、LTE用モジュールのみ有効にして、閉域網経由で社内LANに接続するようにする＋インターネット接続には閉域網経由で出られるサービスを提供している事業者と契約するという風にするのが最善策なのかなと考えています。

　とにかく、「情報漏洩が起きたからテレワークは禁止」は止めてほしいものです。

「正しく怖がる」ことは大事だと思います。