ニューノーマル、誰も悪者にしないために従業員ができる「テレワークセキュリティ術」は?(ITmedia NEWS)
【リンク先抜粋】
攻撃者の視点:
「あの会社、どうやらメールはGoogleのサービスを使っているみたいだ。ということは、名刺で見たメールアドレスがIDで、そのパスワードさえ分かれば全部のメールが見えるよね。どうせパスワードは漏えい済みのアレを使い回しているだろうから……」
テレワーク時代において、最も重要なのは「認証情報」といえるでしょう。ここでいう認証情報とは、ネットワーク越しにあなたがあなたであると証明するもの。IDやパスワードがこれに相当します。
これまでであれば、認証情報の一つとして「オフィス内にいる」ことが判定材料になりました。社内ネットワークにつながっているということは、オフィス内に入れる人であるということです。入館カードを持っていて、しかも社内にある管理された社用PCを使っていると分かれば、IDとパスワードだけでも良いかもしれません。
しかし、テレワークが当たり前の時代では、あなたはオフィスの外で仕事をすることになります。オフィス内のシステムではなく、GmailやMicrosoft 365などのクラウドサービスを使うのも当たり前になりました。そんな状況で、IDとパスワードだけがあなたを証明する認証情報だった場合、重要なパスワードが漏れただけで誰もがあなたになりすませてしまいます。
特に、これをお読みのほとんどの方はパスワードを使い回しているというのが現状でしょう(かくいう私も使い回しを排除できていません……)。そうなると、なりすましのリスクは非常に高いと考えるべきです。
まずはなるべくパスワードの使い回しを避けること。全て同じパスワードを使ってしまっているという方は、少なくとも会社内で利用しているパスワードと、個人のパスワードは必ず違うものにしましょう。もしサーバの管理者パスワードと同じものを使ってしまうと、トラブルがあったときに責任をまぬかれることができなくなります。これはぜひ、いますぐ対応してください。
・ネット上で身を守るための「パスワード管理ソフト」 不正ログイン対策に今からできること - ITmedia NEWS
・テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点 - ITmedia エンタープライズ