前回のコラムではテレワーク時の情報漏洩事例をご紹介いたしました。「情報セキュリティ10大脅威 2022」でもあるようにテレワークを狙った攻撃は増加しております。今まではオフィス内で働くことを想定してセキュリティ対策を行っていたかと思いますが、これからは様々な場所で働くことを想定して対策を施さなければなりません。
本コラムでは新しい働き方に合わせたセキュリティ対策を基本的なところから技術的なところまでご紹介いたします。
※前回コラム:【【中小企業向けコラム2】テレワークの情報セキュリティ対策~情報漏洩の事例~
1.テレワークセキュリティガイドライン(第5版)
まずテレワークの情報セキュリティ対策を立案・実施する前に総務省から公表されている「テレワークセキュリティガイドライン(第5版)」をご覧いただくことをオススメいたします。「テレワークセキュリティガイドライン(第5版)」ではテレワークの手法から、その手法ごとのセキュリティ対策案などが記載されておりますので、自社にとっての最適なテレワーク手法を考え、そのテレワーク手法に対するセキュリティ対策をとる際に非常に有効な資料となります。さらには「経営者」、「システム・セキュリティ管理者」、「テレワーク勤務者」の立場から、誰が何をやるべきなのかも示しております。
また総務省は専任のシステム・セキュリティ管理者が不在の中小企業向けに「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を公表しております。セキュリティ対策を網羅的に記載している訳ではございませんが、基本的な対策と必要最低限の対策が記載されております。
専任のシステム・セキュリティ管理者が不在という理由以外にもどちらを参考にするべきかまとめたものが下記の図1.になります。
図1.テレワークセキュリティガイドライン(第5版)と中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)の想定読者像
2.3つのセキュリティ対策
ではここからテレワークに対するセキュリティ対策の手法をご紹介いたします。これからご紹介する3つのセキュリティ対策により全ての脅威から守れるわけではありませんが、どのテレワーク手法にも有効な対策になりますのでご参考にしていただければと思います。
①ルールの策定と教育
「テレワークセキュリティガイドライン(第5版)」にもありますが、いくらセキュリティ対策を立案しても従業員が実施できていなければ何の意味もありません。そのためにはルールが必要です。そこで「こうやって仕事をすれば安全を確保できる」という仕事のやり方をルールとして定めておけば、従業員はルールを守ることだけを意識することで、安全に仕事を進めることができます。
例えば自宅・オフィス以外で業務を行う際はノートPCやスマートフォンの端末類は常に肌身離さず持ち歩く、またノートPCのディスプレイには盗み見防止のフィルムを貼るなどが挙げられます。その他にも社内のファイルサーバーへのアクセス方法やクラウドサービスを利用する際のルールが必要ですが、最初から完全なものを作る必要はなく、PDCAを回しながら最適化していくことがベターではないかと思います。
しかしそのルールが定着しなければ意味がないので、定期的な教育を通じてルールの趣旨を理解し、テレワーク勤務者にルールを遵守することが自分にとってメリットになることを自覚してもらうことが重要です。
②データ暗号化
全ての企業で行っていただきたい情報セキュリティ対策が「暗号化」です。
暗号化とは「デジタルデータを第三者に解読できない状態に変換する」ことです。社員が扱うデータの中には社外秘情報、機密情報が含まれていることがあります。このデータを暗号化し他の人からデータを守ることがセキュリティ対策となります。
例として挙げられるのが通信を暗号化する「VPN」です。VPN(Virtual Private Network)はインターネット回線を暗号化し仮想的な専用線でつないで安全なデータ通信を行う仕組みです。VPNを活用することでオフィス外から社内ネットワークに接続しても第三者から通信を傍受されることはありません。
③エンドポイントセキュリティ
近年テレワークの普及によりエンドポイントセキュリティの重要性が高まっております。テレワークの手法が企業によって様々ですが、基本的にオフィス外で業務を行うことが多いと思いますので「端末そのものを守る」ことが大切になります。
エンドポイントセキュリティも様々製品がございますが、オススメは「WithSecure」です。WithSecureは端末に入っているソフトウェアを手間なく最新状態に保つ仕組みがあり、未知のマルウェアでも隔離して検査することができます。ご興味がある方はこちらをご覧ください。
3.まとめ
第1回のコラムではテレワークの普及率と導入に対する課題、第2回のコラムではテレワーク時の情報漏洩事例、そして今回の第3回ではテレワークの情報セキュリティ対策をご紹介いたしました。新型コロナウイルスが落ち着いてもテレワークでの働き方は普及し続けると予想されます。ただテレワークを実施するにはテレワークの手法に適切なセキュリティ対策を実施する必要がございます。そのため自社にとってどのテレワーク手法が最適か、またそのテレワーク手法へのセキュリティ対策を実施し、継続するために従業員への教育を定期的に行うことが重要かと思います。
またもしテレワーク手法やセキュリティ対策についてお困りであれば弊社ネットブレインズへご相談ください。お客様の会社情報とIT環境を把握し適切なテレワーク手法またはセキュリティ対策案をご提案いたします。
テレワーク手法・セキュリティ対策のご相談はこちらから。