テレワークのセキュリティ対策において、経営者/セキュリティ管理者/テレワーク勤務者の立場から検討すべきこと
テレワーク導入に向けたセキュリティ対策は全社的に実施しなければなりません。それでは、具体的に誰がどのようなセキュリティ対策に取り組めば良いのでしょうか。
ここではそれぞれの立場から検討したいセキュリティ対策について、経営者、セキュリティ管理者、テレワーク勤務者の3つの視点から解説します。
経営者が検討・実施すべきセキュリティ対策
テレワークにおけるセキュリティ対策を考える場合、経営者は以下の検討事項に対処する必要があります。
ガバナンス強化・リスクマネジメント
テレワークを新たに導入する場合、オフィスワークとはダイナミックに就業環境が変化するため、新しいセキュリティポリシーを検討する必要があります。
テレワークに移行することで生じるセキュリティリスクへの理解を深め、必要な施策の意思決定や、従業員への脅威の周知が経営者に求められるでしょう。人員配置の見直し、および予算の確保に努めます。
社内データの保護
社内データを資産として捉え、これらを外部に流出させないための取り組みにも、経営者は参画します。データを有効活用することで得られるメリットについて再認識し、漏えいが発生した場合の影響を評価し直すことで、率先してデータ保護の重要性を全社的に引き上げます。
インシデント対応
万が一サイバー攻撃や情報流出が発生した場合に備え、適切な対応を施すための優先度の設定や、具体的な対応プロセスの検討に、経営者は携わります。インシデント対応計画を策定し、それに則った対応策を管理者に支持する役割です。
社員向け教育
セキュリティ対策を徹底するためには、経営者が主導的な立場を取るのが効果的です。経営者手動のセキュリティ研修を実施し、テレワーク導入に伴うリスクの周知を行い、インシデントの予防に努めます。
セキュリティ管理者が検討・実施すべきセキュリティ対策
セキュリティ対策を実施する上で、最も大きな役割を担うのがセキュリティ管理者です。具体的な取り組み事項としては、以下の通りです。
ガバナンス強化・リスクマネジメント
ガバナンス強化やリスクマネジメントにおいて、管理者はセキュリティポリシーの策定に大きく関与します。具体的なルールを定めたり、テレワーク勤務者にポリシーの周知を行ったり、定期的な見直しを実行したりします。ルール化されていないケースについての問い合わせ対応や、ルールの改訂なども管理者が行い、常に運用環境に矛盾がないようマネジメントする役割です。
資産・構成管理
テレワークの際に貸し出すPCやスマホなどの社内端末の管理に、セキュリティ管理者はたずさわります。具体的な端末の貸出先などをシリアルナンバーを用いて管理し、最新のセキュリティパッチを適用したり、利用可能なクラウドサービスのルール規定などを従業員に共有したりする役割です。
未許可の使用方法やアプリインストールに対しても、テレワーク勤務者に対して逐一警告し、リスクを未然に回避します。
脆弱性管理
テレワーク端末の脆弱性回避のため、セキュリティ管理者はリモートデスクトップなどを使った一斉アップデートを実施する役割を担います。直接端末の脆弱性を解消することはもちろん、テレワーク勤務者に通知を行い、メーカーサポートが終了している製品やサービスの利用を控えるよう周知したりすることもあります。
権限管理
テレワーク勤務者やテレワーク環境かでは、社内データへのアクセスを必要最小限に抑えられるようマネジメントします。アクセス権限を厳格に定めたり、IPアドレスを使ってアクセス環境を制限したりすることで対応する施策です。
社内データの保護
アクセス権限管理に加え、データの保存環境をルールで規定したり、データの処分方法などについても定めたりすることで、情報流出のリスクを回避します。
万が一盗難や紛失が発生した場合、端末を遠隔操作してデータを処分する仕組みを整備するなどの設定も、管理者の業務範囲です。
マルウェア対策
マルウェアの感染を防ぐための、セキュリティソフトのインストールは基本的に管理者が一斉に実施します。会社の定めたセキュリティ基準に当てはまるソフトをインストールし、基本的な脅威の排除や感染が発覚した際の隔離・排除をソフトで完結させます。
通信の暗号化・保護
VPN通信の利用を促し、第三者への情報流出をあらかじめ回避します。自宅利用のルーターなどが有する漏えいリスクをVPNのセットアップによって低減することが可能です。
アカウント管理
従業員が普段使用するIDなどを見直すことで、テレワーク環境でも低リスクに運用できるアカウント管理を実現します。例えばパスワードを複雑なものに再設定したり、認証システムを高度化し、容易に第三者による不正アクセスができないようにアップデートしたりする施策が挙げられます。
アクセスの制御
テレワークにて使用する端末にファイアウォールを設定し、外部からの脅威を排除できるよう促します。社内サービスへアクセスできるIPアドレスを制限したりすることで、不明なユーザーが社内サーバーにアクセスするような事態を回避可能です。
インシデント対応
セキュリティインシデントの発生、あるいはそれが疑われる場合に、適切な対応を実現するためのルール設定や実際のインシデント対応に管理者が担当します。適切な対応ができるよう、定期的に訓練や対処プロセスの見直しを行い、被害を最小限に抑えるための責任を負います。
脅威インテリジェンス
最新の脅威にも正しく対応できるよう、日常的なセキュリティ関連の情報収集は欠かせません。必要に応じて社内セキュリティにも反映し、リスクを常に小さく抑えられるよう取り組みます。
社員向け教育
適切なテレワーク教育が行えるよう、社員向けの研修などを定期的に実施します。必要に応じてメールの一斉配信などを通じて、注意喚起を行うことも業務の一部です。
テレワーク勤務者が実施すべきセキュリティ対策
実際にテレワークに従事する勤務者は、どのようなセキュリティ対策の責任を負うのでしょうか。
ガバナンス管理
ガバナンス管理においては、基本的にテレワーク勤務者は定められたルールの遵守が求められます。ルール上で定められていない事項については適宜管理者に確認をとり、不要なリスクを回避する習慣が必要です。
資産・構成管理
資産や構成管理においても、企業が資産と認識している端末や情報を把握し、ルールに則ってそれらの保護に努めることが大切です。
アプリのインストールなどにおいても申請を行い、ルールから逸脱した端末利用を回避します。
脆弱性対策
セキュリティアップデートが正しく行われているかを確認し、サポートが終了した製品やサービスを利用しないよう注意しましょう。自宅ルーターのセキュリティ対策を徹底したり、社用端末に対して許可されていない改造を施さないようにしたりする取り組みも求められます。
社内データの保護
社内データの保護に関するルールを正しく把握し、遵守することが勤務者に求められます。記録媒体の管理についても徹底し、紛失や盗難が発覚した場合、適切な手順に乗っ取り初期化や届出を行いましょう。
マルウェア対策
セキュリティソフトのインストールを確認し、不用意なネット利用などを回避しましょう。リアルタイムスキャン機能を活用したり、怪しいファイルは開かなかったりなどの自発的な取り組みも必要です。
通信暗号化
ネット利用はVPN接続に限定するなど、情報流出のリスクを回避する取り組みが求められます。暗号化のパスワードはなるべく複雑にし、不正アクセスのリスク低減に努めることが求められます。
アカウント管理
IDやパスワードは他人に共有しない、PC上に記録しないなどの取り組みを徹底しましょう。パスワードは定期的に変更し、複雑なものを設定する必要もあります。
アクセス制御
自宅用のWi-Fiに接続しない、Bluetooth接続などもできる限り制限するなど、社用端末への外部からのアクセスをシャットアウトしましょう。不用意にアクセスを許可してしまうと、第三者に意図せず情報が流出するリスクが高まります。
インシデント対応
インシデントが発生した場合、規定の手順に基づいた報告や対処に努めます。インシデントかどうか疑わしい場合も、管理者へ迅速に報告し、適切な対処を求めることが大切です。
物理セキュリティの強化
PCのパスワード設定を強化したり、画面に覗き見防止スクリーンを貼り付けたりして、情報流出を回避します。周囲の状況に目を配り、人気のあるところでの機密情報の閲覧を控えましょう。
社員向け教育
日頃から自発的なセキュリティ研修に参加し、最新のセキュリティ動向や、普段の対策が適切かどうか、振り返る時間を持つことも、セキュリティリスク回避においては大切です。
