ノウハウ

テレワークの情報セキュリティ対策・最も重要なポイント

最近こんなCMを聞きました。「テレワークの際のセキュリティは?」に対して「クラウドで行っていますから」と答える、わかる人にはわかるんだろうなと思いました。

確かにテレワークする際に、セキュリティはどうするの?ということは重要な問題です。家庭でテレワークしていても、ウィルスによって守り切れない時があります。コワーキングスペースだと、席を離れた時に、誰かに見られること。USBで情報を取られることも想定しなければなりません。

会社内の情報だけでなく、取引先の顧客情報など機密データを社外に流出してはいけません。しかし、テレワークという働き方自体、会社内で行われるのではなく、社外です。自宅や社外から安全に社内データへアクセスできる環境を整備する。
これは、テレワークの中での最大の守秘義務ではないかと思われます。

会社として行って欲しいこと

まず会社側のすべきことです。企業がセキュリティ対策を効率的に行うためには、保護すべき情報資産を洗い出すこと。そのような脅威や脆弱性、及びリスクがあるのかを充分に把握し、認識する。その上で、重要度に合わせて情報のレベル分けを行います。ただ、どこか1カ所に弱点があると想定すると、他の部分をどんなに強化したところで、完璧なセキュリティにはなりません。
情報資産を守るために、「ルール」「人」「技術」を三本柱にすることが必要です。

経営者がすべきこと

「ルール」は経営者が建てる柱です。
テレワークの実施を考慮したセキュリティポリシーを策定する。そして、定期的に監査する。その内容に応じて適宜に見直しを行う。

  • テレワーク勤務者に対して、セキュリティポリシーに則った(策定されたものは、常に見直されている)定期的な教育と啓蒙活動を実施する。
  • 情報セキュリティの要素である、機密性、完全性、可用性に影響を与える不測の事態であるセキュリティインシデントの発生に絶えず備える。迅速な対応が取れる連絡体制の設備を設置する。また、事故時のシュミレーションを行う。
  • セキュリティ対策を決め、その導入と運用に必要な人材と費用を、確実に確保する。

「最近流行ってるらしい」とテレワークを命じることは簡単なことです。しかし、一人のテレワーク実施者を設定する前に、会社自体がルールを決めなければ始められない働き方なのです。

テレワークによって、残念ながら情報が流出した場合、最終的に責任を取るのは、会社だからです。情報が流出したということになれば、会社自体の信用を失いかねません。だから、安易なテレワークをさせることはしていけないのです。

システム管理者が行うべきこと

会社が定めたセキュリティポリシーに従って、セキュリティ管理者は行動します。テレワークのセキュリティを確保するために、技術的対策を担います。

情報のレベル分けをすること。それに応じて、データーのアクセス制限や暗号化要否、印刷の可否(パソコン上において、コピペできないようにするとか、印刷時に暗号文字が出てしまうとか。紙物に印刷できないことは、情報流出にとって重要な手法)の設定。
導入した対策について定期的に、やはり監査を行わなければなりません。

ソフトウェアの対策

  • 端末へのアプリケーションのインストールを申請化する。問題がないと確認できたときのみ認める。
  • 端末のOS及びソフトウェアをアップデートして最新状態に保つ。
  • フィルタリングなどを利用して、危険なサイトへのアクセスを禁じる(パソコンの個人的使用の禁止)
  • 端末にウィルス対策ソフトを読み込み、最新の定義ファイルを活用する。
  • どうしても、テレワーク中に、私用で端末を利用しなければならない場合は、必要な対策が施されていることを確認の上認める=あまり望ましいことではないので、私物のパソコンを帯同させる。
  • ランサムウェアへの感染に備える。重要なデーターをこまめにバックアップし、社内システムから切り離した状態での保存を推奨する.
  • 金融機関や取引業者を装う不審メールは、迷惑メールに設定する=個人使用ではないので、金融機関からメールが来ること自体本来ではありえない事。

紛失と盗難

  • 会社から貸与するたんまつは、所在や利用者等を台帳などをもって厳重に管理する。
  • 無線LANの脆弱性の対策を行う。

不正侵入などに対する対策

  • 設置やアクセス状況は常に監視する。
  • 不必要なアクセスは、遮断する。
  • 社内システムにアクセスするときのパスワードは、強度の高いもののみ設定を許可する。

外部サービスの利用

  • クラウドの利用。 クラウドの定義は「クラウドとは、ネットワーク、サーバ、ストレージ、アプリケーション、サービスなどの構成可能なコンピューティングリソースの共用プールに対して、便利かつオンデマンドにアクセスでき、最小の管理労力またはサービスプロバイダ間の相互動作によって迅速に提供され利用できるという、モデルのひとつである。このクラウドモデルは可用性を促進し、5つの基本特性と、3つのサービスモデルと、4つの配置モデルによって構成される」とされている。
  • クラウドの利用ルールを整備すること。
  • 情報漏洩につながる恐れのある使用方法を禁じる。
  • SNSに関するガイドラインを設置し、利用ルールを決め、テレワーク時の利用上の留意事項として明示する。

会社と、テレワーク勤務者の間に、セキュリティ管理者が入ることで、パソコンなど使用機器の使える範囲が、会社仕様になります。

テレワークは、パソコンさえあればどこでもできますが、自分のパソコンのように無秩序に使用できない付加をかけることによって、情報は守られていくはずです。

テレワーク勤務者が行うこと

自由な時間で働けるということが、仕事においてのメリット(時にデメリットにもなる)であって、仕事自体は、会社のデスクトップパソコン上で行うよりもかなり制限があることを自覚しましょう。
テレワークが許されているということは、あなたには信用があるわけです。その信用を裏切るような仕事をしてはいけません。

作業に利用する情報資産の管理責任を自ら行うことの重さを自覚しましょう。
セキュリティポリシーで定められた基準に合わせて業務を遂行します。
そして、定期的に「きちんと行えてるか」を自己分析することが必要です。

  • 端末の不正な改造(パソコンを自作できる方や、プログラミングを行える方は気を付けましょう)。
  • アプリケーションにインストールする場合は、必ず、システム管理者に申請して許可をもらいます。
  • 支給された端末以外に、私用端末に情報を移す場合は、細心の注意を払う=できればしない。
  • 電子メールの添付ファイルの開封。リンク先のクリックは、ウィルスや情報消去の可能性があるので、なお一層注意する。
  • 機密性が求められるデーターを住信する場合は、必ず暗号化をする。
  • 自宅以外での作業の際は、端末画面にプライシーフィルターを貼付したり、作業場所を選ぶこと。
  • 第三者による画面ののぞき見防止を心がける(家族であっても禁ずる)。
  • インターネット経由で社内システムにアクセスする場合は、システム管理者に指定されたアクセス方法のみを使用する。
  • SNSやファイル共有などのクラウドサービスを利用する時は、会社に指示されたルールやガイドラインに従う。

テレワークによって情報流出した場合、最終的には会社が責任を取ると前記しました。しかし、流出させた本人も責任を取らねばなりません。

時間、勤務場所は自由ですが、その自由にはかならず責任が伴います。情報は、資産です。個人で補える程度の資産ではなく、将来的に利益を生む可能性のある資産なのです。

テレワークを、その自由いいなと考える程度で選択するのではなく、情報流出など重い責任が伴う勤務であることも肝に銘じましょう。

-ノウハウ
-, , ,

Copyright© Telework Labo テレワークラボ , 2021 All Rights Reserved.