安全でないパブリックの WiFi ネットワークを使うエンドユーザーに自身と会社の情報を保護するよう心がけてもらう必要があります。

常識とはかくも変わるものでしょうか -- コーヒーショップで、サイバー犯罪者が自分の会社のシステムにアクセスする方法を見つけられないよう気をつけなければならないなんて。

顧客やベンダーを訪問して社外で働くエンドユーザーの従業員がいる会社はたくさんあります。リモート・オフィスで仕事をすることも普通です。そのような社員が、協業したり、情報にアクセスしたり、業務を続けるために必要なことをするために、いつでも、可能な限り会社のネットワークに接続できるようにすることが必要になります。

この状況は、ロビー、空港、コーヒーショップなどの無線ネットワークが使えるところでは、たいていは安全ではないネットワークですが、社員がオープンな無線ネットワークに接続しようとする可能性があるということを意味します。しかし、その同じネットワーク上にはどんな人間が潜んでいると思いますか...

サイバー犯罪者は、接続をハイジャックできないかと、モバイルユーザーがいるところを探し回っています。クレジットカード番号や PII などの個人情報を捜しているかもしれませんし、機密性の高いデジタル資産を見つけるかもしれません。

モバイルユーザーは、典型的には、個人情報や会社の資産に属する情報を保護するためにすべきことを考慮せずに WiFi ホットスポットにログオンします。これは、サイバー犯罪者が、ときにはネットワークトラフィックを解読することなしに、ユーザー名とパスワードにアクセスできることになり、大きなリスクになります。

サイバー犯罪者がモバイルユーザーのデバイスに不法侵入できてしまえば、開いている接続を利用して、中間者攻撃を実行したり、マルウェアをアップロードしたりでき、企業ネットワークから情報を盗み出すこともおそらく可能です。洗練されたサイバー犯罪者は、不正なアクセスポイントを設定して、モバイルユーザーに正当な WiFi ネットワークにログオンしていると思わせることもできます。そのようなネットワーク上でユーザーが送信するデータは、サイバー犯罪者のコンピュータに自動的に保存されます。

営業担当者が CRM プラットフォームにチェックインしている場合は、全顧客リストが公開されてしまう可能性もあります。

情報を保護するための７つのヒント

以下は、エンドユーザーがパブリック WiFi ネットワーク上で自身と会社の情報を保護するために役立つヒントです。IT部門でできる対策も、エンドユーザーだけにしかできない対策もありますが、エンドユーザーだけにしかできない対策については、社内のエンドユーザーを教育する必要があります。モバイルデバイス管理プラットフォームを導入して、モバイルデバイスにソフトウェアを自動的にアップロードし、エンドユーザーにセキュリティ・ポリシーの遵守を徹底させることができれば保護強化に役立ちます。

1. パスワードが必要な WiFi を選ぶ：パスワードを必要とする WiFi ネットワークでもハッキングされる可能性はありますが、パスワードをまったく必要としない、広く開放されたネットワークよりは高いレベルの保護を提供します。このためには、事前に調査しておく必要があります。可能なら、どこのコーヒーショップ、レストラン、ホテル、空港のエリアにパスワードが必要なネットワークがあるかを社員に知らせておくとよいでしょう。パスワードは取得するのが難しければ難しいほど安全性が高まります。たとえば、領収書を見せないとパスワードが取得できなければ、パスワードが公開されている場合に比べて、サイバー犯罪者があきらめる可能性はずっと高いでしょう。
   
2. ファイル共有をオフにする： ほとんどのデバイスには、他の信頼できるコンピュータと信頼できるネットワークを使用していると仮定して設定されたファイル共有オプションがあります。エンドユーザーに、ファイル共有を無効にして、内蔵のファイアウォールを有効にするように要請してください。また、インターネットに接続されたアプリやサービスを最小限にする必要があります。信頼できるワイヤレスネットワーク上では使えても、信頼できるネットワークでない場合はより安全な設定に切り替えるように、設定を自動化することが可能です。
   
3. 使用していないときは WiFi をオフにする： オンラインサービスにアクセスしたり、メールをダウンロードしたりするとき以外は、WiFi をオンにする必要はありません。メールやドキュメントをローカルにダウンロードし、それらをオフラインで使用するようにエンドユーザーに指示することもできます。作業を終えて準備ができたときにオンラインに戻ればいいのです。
   
4. アンチウィルス、マルウェア対策、パッチに関して最新情報で更新： 洗練された新しい攻撃が常に出現します。アンチウィルス、マルウェア対策、アプリケーションへのパッチなどに関して定常的な更新を怠ると、デバイスの脆弱性を放置することになります。あらかじめ、デバイスに自動的に更新をアップロードするプロセスを設定（モバイルデバイス管理プラットフォームを介して）しておくことが理想的です。この点に関しては、エンドユーザーに任せておくのは危険です。
   
5. プライバシー保護のためのブラウザ拡張をインストールする： エンドユーザーは、安易に広告をクリックしてしまうことがあり、それが悪質なものならばデバイスに大きな害を及ぼします。会社のネットワークへの侵入を可能にしてしまうことさえあり得ます。広告ブロッカーは、ハイジャックやクリックジャック攻撃からエンドユーザーを守ることができます。
   
6. HTTPS を探す： エンドユーザーに、<HTTP> ではなく、<HTTPS> サイトを探すように指示してください。多くの企業で両方を提供しており、<HTTP> を自動的に <HTTPS> に置き換えるようにするアドオン・ツールもあります。HTTPS はユーザーの安全を保証するものではありませんが、少なくともやりとりされる情報は暗号化されます。
   
7. VPN を使用する： 接続は遅くなる可能性がありますが、オープンな WiFi ネットワークからの最善の保護は、接続に時間がかかるとしても、VPN を介して会社のネットワークに暗号化されたアクセスを行うことです。サードパーティープロバイダを利用する場合でも、独自に作成する場合でも、VPN を使用すると、すべてのデータが暗号化され、権限のないユーザーがロックアウトされます。

常識をわきまえて、日常的に警戒

上述のヒントやモバイルデバイスをサイバー犯罪者から守るアドオンツールに加えて、エンドユーザーが常識で判断できるよう、日頃から常識を養うような訓練をすることも大切です。常識をわきまえていれば、セキュリティ保護されていないパブリック WiFi で機密データを扱うことは避けるべきだと判断できるでしょう。

パブリック WiFi でブログや競合他社のウェブサイトをチェックするのは問題ないでしょうが、会社の ERP や CRM システムにログインするのはおそらく最善ではありません。電子メールにも注意する必要があります。添付ファイルには、販売提案などの機密情報が含まれている可能性があります。

モバイル機器のセキュリティとエンドユーザーの常識は常にオンに設定されている必要があります。すきがあれば、サイバー犯罪者が情報を盗むには1回か2回のクリックで十分だということを心得ておくべきです。