安全快適にリモートワークを行う

安全快適な在宅勤務を行うために

すっかり在宅勤務が新たな日常として定着しつつありますが、2020-07-01にICT-ISAC(アイシーティ・アイザック)から「家庭内で安全快適に在宅勤務を行うためのリファレンスガイド」が公開されています。ICT-ISACは、サイバーセキュリティに関する情報収集・調査・分析等の業務を行っている組織で、IPA情報処理推進機構と同様に、情報セキュリティについて分かり易く記事が掲載されています。ガイドの詳細は、以下の記事を参照してください。

ICT-ISAC(アイシーティ・アイザック)
https://www.ict-isac.jp/index.html
IPA情報処理推進機構
https://www.ipa.go.jp
家庭内で安全快適に在宅勤務を行うための リファレンスガイド
https://www.ict-isac.jp/news/remote%20work%20reference%20guide.pdf

在宅勤務のための技術的要件

上記のリファレンスガイドは、大事な会議の内容を家族などに聞かれないなどの体制面の話と、Wi-Fiルーターの設定などの技術面の2つを両立する必要があります。会社のノートPCを貸与され、自宅の無線ルーターおよびインターネット回線を用い、VPNで会社に接続するのが一般的な形態ではないでしょうか。ここでは技術的要件として、セキュリティ上安全である事を筆頭に、大事な会議中に無線が切断されてしまう事の無い安定したリモートワークを実現するための無線ルーターの設定やソフトウェアなどの活用について紹介します。

まず、上記のリファレンスをチェックシートにすると以下の内容となります。

要件 対応方法
P6自宅のルーターの管理画面や機器がインターネットから見えていないこと (1)無線ルーターについて
P8自宅のルーターの管理画面のパスワードを適切に設定しておく (2)パスワード管理ソフトの導入
P9自宅のWi-Fiネットワークのセキュリティを適切に設定する (1)無線ルーターについて
P12パソコンの共有設定を確認しておく (1)無線ルーターについて
P13自宅のLANに接続されている機器を確認しておく (4)ネットワークチェックツールの利用
P15すべての機器のファームウェアを更新する (1)無線ルーターについて
P16すべての機器に対して適切なパスワードを設定する (2)パスワード管理ソフトの導入
P18パソコンに接続されたマイクやカメラの状態を意識する (3)セキュリティ対策ソフトの導入
P20利用機器のサポート体制を確認する (1)無線ルーターについて

※メーカーWebサイトの確認

(1)無線ルーターについて

無線ルーターの設定のポイントは上記で示すようにたくさんあります。無線ルーターは毎年規格が新しくなっていくもので、耐用年数もPCなどと比較し、寿命が短いと言えます。

  • ルーターの設定画面がインターネットから見えていないこと
  • Wi-Fiネットワークのセキュリティを適切に設定する
  • 利用機器のサポート体制を確認する

上記の1点目はデフォルト設定で特に問題は起きない内容ではあります。ルーターの設定画面についても、業務用ルーターを間違った使い方をしない限りは発生しないものです。Wi-Fiのセキュリティについて、WPA2も一時は脆弱性で話題となりましたが、最近発売されているルーターはきちんと対応がなされています。しかし、過去に販売されているものを継続して使っている場合はサポートが切れていないか確認が必要です。サポートが切れている機器はセキュリティ事故が発生する前に、速やかな交換が必要です。Wi-Fiセキュリティについて、最近はWPA3に対応した製品も発売されています。WPA3/WPA2と併用できる設定もありますが、脆弱性の対応がなされているWPA2(AES)であれば無理をしてWPA3を併用する必要はありません。Apple社のWi-Fiアクセスポイントに関する推奨としては、WPA3→WPA3/WPA2(AES)併用→WPA2(AES)の順に推奨されています。詳細は以下を参照してください。

NECプラットフォームズ:【重要】「WPA2」の脆弱性に関するお知らせ
https://www.aterm.jp/product/atermstation/info/2017/info1018.html
バッファロー:無線LAN商品のWPA2の脆弱性について
https://www.buffalo.jp/news/detail/20171017-01.html
Apple -Wi-Fi ルーターと Wi-Fi アクセスポイントの推奨設定-
https://support.apple.com/ja-jp/HT202068

機器のファームウェアを更新する

国内の無線LANの有名メーカーでは、ファームウェアは自動更新する方式に変わってきています。もし無線ルーターを買い換えるのであれば自動更新機能がついた機器を購入される事をお勧めします。過去の発売された無線ルーターもファームウェアの更新で、自動更新モードが加えられるケースもあります。脆弱性対応のために自動更新を設定する事をお勧めします。

「ご家庭でWi-Fiルーターをより安全にお使い頂くために」というタイトルで、Wi-Fiルーターを利用する上での注意喚起が公開されています。提言しているのは以下の4社です。ITリテラシーの啓蒙だけではなく、こういう形でメーカー自らが主導する取り組みは素晴らしい事です。詳細は以下を参照してください。

・株式会社アイ・オー・データ機器
・NECプラットフォームズ株式会社
・エレコム株式会社
・株式会社バッファロー

一般社団法人デジタルライフ推進協会-ご家庭で Wi-Fi ルーターをより安全にお使い頂くために-
https://dlpa.jp/pdf/dlpa_pr_20191218.pdf
NECプラットフォームズ:【重要】Wi-Fiルータをより安全にお使いいただくためのお願い
https://www.aterm.jp/product/atermstation/info/2019/info1218.html
バッファロー:Wi-Fiルーター/中継機を最新のファームウェアに更新する方法(ファームウェア自動更新機能を利用)
https://www.buffalo.jp/support/faq/detail/15923.html

パソコンの共有設定を確認する

会社から貸与されたPCを使う上でのポイントを記載します。会社が貸与するPCは流石にセキュリティ対策もしっかりしたものが行われていると考えられますが、完全にそれを信頼するわけにはいきません。逆もまた然りで、個人の利用するPCが会社の貸与PCに対しての脅威となる可能性があります。パソコンの共有設定を制限する代わりに、ゲスト用の無線APに接続する事で対策が可能となります。バッファローでは”ゲストポート”、NECプラットフォームズでは”ネットワーク分離機能”と呼ばれます。有線接続を含めた個人の機器へ一切アクセスさせずにインターネットの接続が可能となります。

無線ルーターのチェックポイント

価格.COMの無線LANルーター(Wi-Fiルーター) 人気売れ筋ランキング2022年3月によれば、人気のある無線ルーターは、バッファロー、NECプラットフォームズ(Aterm)などの国内製品が上位20位までに19がランクインしています。私見ですが、少しでも安定稼働、安全に利用するためのポイントを記載します。

  1. 無線LANのAPモードにでは、固定IPを振る
    無線LANをAPモードにする場合は親機やプロバイダ貸与のHGWからのDHCPによってIPを割り当てられますが、固定IPとする方が瞬断などの不具合の可能性を下げられます。

  2. Wi-Fiの5GHzはW52固定を利用する
    気象レーダーや軍事レーダーの影響でW53およびW56は1分間無線の出力を停止してしまう可能性があります。大事な会議では致命的です。自宅がレーダーの影響を受けないと確認できていれば気にする必要はありません。無線チャンネルが自動選択の場合(Atermではオートチャネルセレクトと呼ばれます)も瞬断の原因になりやすいため、使わない方が無難です。また最新の高性能ルーターでは160Mzhのオクタチャンネルで高速化を図る製品も出ていますが、これもW52の4チャネルでは不足し、他のチャネルを併用することになります。つまり、レーダーの影響を受ける事になるため、W52のクアッドチャネルまでに留めておいたほうが無難です。

  3. 暗号キーの自動更新間隔について
    設定画面で暗号キーを一定間隔で更新するという機能があり、更新間隔の設定項目があります。基本的にビジネスで利用するアプリケーションは殆どがユニキャスト通信(1対1の通信)で、これの暗号キーはフレーム単位に鍵を変化させており、この設定間隔とは関係ありません。但しブロードキャストおよびマルチキャストのような1対1通信ではない場合は、1フレーム毎に変更というわけにはいかず、暗号キーを一定期間で更新する仕組みを取っています。従い暗号キーを一定間隔で更新しない事が即座に脆弱性となるわけではなく、ネットワークが混乱しないようにする仕組みと考えた方が良いようです。バッファローの初期値は0(更新しない)、Atermは30分となっています。ビジネス用途ではありませんが動画配信のDLNAプロトコルはマルチキャストですから、アプリケーションが利用するプロトコルによってはこの鍵更新のタイミングで途切れる場合があります。

  4. マルチキャストの速度設定
    上述したDLNAはひかりTVなどで利用されます。このDLNAに利用されるマルチキャストは、バッファローであればマルチキャストレート、Atermであればマルチキャスト伝送速度という名前で記載されています。例えばAtermですと初期値が6Mbpsで、これだと十分に番組を伝送出来ない可能性があります。従いその値を増やす事でTV映像は安定します。しかし、マルチキャストは1対多で指定した帯域を確保し伝送するわけですから、全ての端末にデータ配信が行われます。無線機に接続された仕事用の端末はマルチキャストパケットの帯域確保が優先されてしまう事で仕事上のTV会議などが思わず影響を受けてしまう事になります。従いマルチキャストレートは上げすぎても良くないという事になります。マルチキャスト通信も種類があり、上述のひかりTVは番組を視聴している間ずっとマルチキャストを転送し続けますが、PanasonicのプライベートビエラなどのPortableTVなどは最初だけマルチキャストで接続を確認した後はユニキャストになります。

    Panasonic プライベートビエラ

https://panasonic.jp/privateviera/

  1. UPnpの停止
    Universal plug and playの機能でホームゲートウェイなど光回線に接続する機器には装備されている機能です。インターネットからLAN内の機器に接続する仕組みです。これは過去から脆弱性攻撃に利用されやすいものですので明確に必要としていない場合はこの機能を停止する事をお勧めします。

(2)パスワード管理ソフトの導入

無線ルーターの設定では、機器にログインするためのIDとSSIDに対するパスワード(暗号キー)を必ず変更して下さい。Wi-Fiに入られない限り安全だろうという理由で、無線ルーターのパスワードが短かったり単純なものは危険です。悪意のあるスマホアプリからWi-Fiを経由し、簡単に無線ルーターの乗っ取りが可能です。個人的にはパスワード管理ソフトとして、米国のbitwardenがお勧めです。

bitwarden
https://bitwarden.com/

  • パスワードの自動生成が可能
  • Windows、macOS、iOS、Androidに対応
  • スマホは指紋認証(Touch ID)や顔認証(Face ID)に対応
  • 主要ブラウザに対応
  • サイトのURLに反応しID、パスワードを自動入力可能(フィッシング対策としても有効)
  • 無償(有償オプションもあるが無償でも十分利用可能)
  • 暗号化に関する部分のソースコードが公開されている
  • 日本語対応

パスワードの使い回しが良くない事と理解しつつも、少しだけ変えた似たようなパスワードを使い、しかも忘れてしまいパスワードの再作成というのはよく経験する事でないでしょうか。ブラウザからでもオートコンプリートで一発入力なので非常に快適です。クラウド上にパスワードを置くのが怖いという考え方もありますが、2要素認証の標準化により、昔ほどパスワード漏洩が脅威では無くなりつつあります。何よりパスワードの使い回しより遥かに安全です。私は本当に重要なサイト、2要素認証アプリのパスワードを除き、bitwardenでランダムに生成した13桁程度の文字列をパスワードに利用し、全てbitwarden任せです。詳細は「パスワード管理ソフトのbitwardenを活用する」を参照してください。

(3)セキュリティ対策ソフトの導入

Windowsをお使いの方であれば、WindowsDefenderがありますから敢えて別のウィルス対策ソフトを購入する必要はありません。ただ付加機能として、有名どころのNortonやカスペルスキーなどでは、個人PCのカメラを意図して使われないようにコントロールできる機能を持っています。リモートワークでのTV会議の風景を録画されてしまう事の対策として利用を検討してみて下さい。個人的には多少ITスキルを要求しますが、ルーマニアのBitdefender SRL社が提供するbitdefenderをお勧めします。私は、Windows、macOSなど複数の端末を持っているため、”トータルセキュリティ2020”という製品を利用しています。ちょっとだけ微妙な日本語はご愛嬌ですが、よりプライバシーに配慮したセキュリティ対策ソフトです。彼らのプライバシーポリシーはとても丁寧に記述されている事、どのソフトが通信しているかコントロールしやすい(かといって煩雑すぎもしない絶妙なバランス)点が挙げられます。カメラのコントロール、マイクを使うタイミングでのアラート機能が装備されています。こちらは有償のソフトウェアですが、対応している機能からすれば非常に安価です。

bitdefender
https://www.bitdefender.com/

macOS、Linuxでも「ウィルス対策ソフトは本当に必要か?」という議論を見かけますがほとんどのケースで必要と考えています。対策ソフトで完璧に防ぐ事は困難ですが、自身の不注意から最悪のシナリオに繋がるケースから守ってくれる事もあります。「全てのOS、利用しているアプリケーションの脆弱性に伴うパッチを公開初日に確実に適用する自信がある」かつ「信頼できない未確認のサイトにアクセスしない」とわかっている場合のみウィルス対策ソフトは不要です(パッチ未公開の攻撃はホームユーザーにとって防御が困難です)。IoTはウィルス対策ソフトが導入できない代わりに「パッチの自動更新が必須」でありインターネットへアクセス可能な範囲を絞るべきです。
ウィルス対策ソフトで確実に防御できるわけではありません。対策ソフトにも優劣がありますし限界があります。申し上げたいのは稼働させられるウィルス対策ソフトを使っていなかった、つまり本人の過失とならないように稼働させる事をお勧めするものです。

では、WindowsDefenderを導入しておけば絶対安全か?と言われればそうではありません。デフォルトでWindowsにインストールされているウィルス対策ソフトで防御されてしまうレベルの攻撃では全く意味がない事を攻撃者は理解しているからです。繰り返しになりますがウィルス対策ソフトは稼働させた上でデータのバックアップや頻繁なパッチ適用をお勧めします。

また、音声で留意する点は、Google Home、Apple HomePod、Amazon Echo(Alexa)の存在です。これはどのタイミングで音声をキャプチャされているか分かりませんので十分気を付ける必要があります。

(4)ネットワークチェックツールの利用

簡易なネットワーク脆弱性チェック

上述したbitdefender社から、Home Scannerという無償ツールが公開されています。これは彼らの製品であるbitdefender BOXと呼ばれるFirewallを売るためのチェックツールでもあります。ネットワーク上の端末やIoT機器に脆弱性のリスクがあると警告してくれます。実際の対策内容は”bitdefender BOXの導入を”となります。初級者〜中級者向けにはこのツールを使い、まずは当該機器のファームウェア更新の有無を確認するために活用できるでしょう。また、忘れがちのIoT機器に気づくきっかけとなります。前述した「家庭内で安全快適に在宅勤務を行うためのリファレンスガイド」ではトレンドマイクロ社の「オンラインスキャンfor Home Network」が紹介されています。これは家庭向けIDS(Intrusion Detection System)といったところの機能です。仕組み上、ネットワーク全体の速度としての遅延が発生しますので、このブログでお勧めしている Sophos Firewallの導入 ほど手間を掛けられないが安心は得たいという事であれば検討してみる価値はあります。

bitdefender Home Scanner
https://www.bitdefender.com/solutions/home-scanner.html

脆弱性検証ツール「Nessus」

上級者向けには、ビジネスでは有名どころのTenable社のNessusが候補に挙げられます。Nessusは16IPを上限に検査できるNessus Essential(無償)が提供されています。しょっちゅう稼働させるプロダクトではありませんので、ノートPCにインストールしておき、普段はサービスを停止させておくと便利です。

Nessus
https://jp.tenable.com/products/nessus

OSのファイアーウォール設定

私見ですが、自宅のネットワーク環境を安易に信頼しない事です。Windowsはパブリックネットワーク、macOSではOSが持つFirewallを有効にする事を検討してください。パブリックネットワークの設定でもプリンターは使えますし、さほど不便はありません。FirewallでSSLインスペクションが使えないIoTやAndroid端末もネットワークの他のホストとは通信させず可能な限り分離させています。もちろん絶対に通信させてはいけないという事ではなく、あらかじめ利用がわかっているものはもちろん明示的に許可をします。あくまで使わないものは遮断しておくのが安全です。私はAppleのAirDropはとても便利なので明示的に許可しています。

(2020-09-30追記)
iOS14では設定にローカルネットワークという項目が追加されました。悪意のあるスマホアプリがネットワーク上の機器に不正アクセスするリスクが懸念されますが、ネットワーク内にある他の端末にアクセス可能なアプリを最低限度に抑える事ができるようになりました。こちらも是非設定される事をお勧めします。

可用性のために検討すること

会議の時に自宅が停電というリスクを考えると、デスクトップPCよりはノートPCのほうが可用性が高いです。また、Wi-Fiルーターが停止した場合の予備機を考えるよりは、スマホのテザリングでしのぐ方が現実的ですのであらかじめスマホとPCにそれぞれ設定される事をお勧めします。