-第165回-
テレワーク(2)
-セキュリティ上の課題-
皆さんがテレワークの導入に併せて情報セキュリティ対策を整備しようとするとき、現状でどのような問題があるのか、今後どのような対策をすべきかを自ら検討するのは困難な場合が多いのではないでしょうか?以下に例示する取組はこうした悩みの解決に役立ちますので参考にしていただければよろしいかと思います。
① SECURITY ACTION (独立行政法人情報処理推進機構(IPA))
IPA が公開している「中小企業の情報セキュリティ対策ガイドライン」に基づき次の取組を行う旨の自己宣言をすると、SECURITY ACTION 各ロゴマークを自社サイト等に掲示することができ、自社のアピールにつながります。
「情報セキュリティ 5か条」の実践・・・★一つ星
「自社診断シート」に基づくセキュリティポリシーの策定・公開・・・★★二つ星
② 情報セキュリティ理解度チェック(NPO日本ネットワークセキュリティ協会)
「電子メールに関する知識」「インターネットの利用法」「ウイルスに関する知識」「パスワードの管理」など、テレワークを行う上でも重要なセキュリティ知識を従業員がどの程度理解しているかの自己チェック環境を提供しています。
また、テレワーク導入に伴って以下に直感的に頭に残る主な対策を4つが挙げます。
① 端末を保護する
何よりもまず、テレワークでは外部で使用する端末の保護が重要となります。テレワーク環境においては、外部ネットワークと端末の間にセキュリティ機能が存在せず、脅威に直接さらされている状態になり、攻撃者の格好の標的となります。また、マルウェアに感染した端末が社内ネットワークに接続すると、内部拡散の危険性も伴います。OS を最新の状態に保つのはもちろんのこと、アンチウイルスソフトも導入するなど、テレワーク端末のセキュリティを強化することが重要です。
② クラウドサービスのセキュリティ対策
クラウドサービスはテレワークとの親和性が高いサービスです。クラウド環境においては、外部からの脅威対策はもちろんのこと、セキュリティポリシーの一元管理、アクセス管理などを含めた包括的なセキュリティ対策が求められています。
③ 紛失・盗難・置き忘れ対策
テレワークの導入によって外部に端末を持ち出すと、紛失や置き忘れのリスクを伴います。また、自宅で作業をする場合にも盗難の危険性があります。このような場合への対策として、ディスク暗号化によって情報漏洩のリスクを抑えることが可能です。ディスク暗号化機能として、Windows10 には「BitLocker」が、macOS には「FileVault」が標準搭載されています。テレワークで利用する端末では是非これらの機能を有効化しておきましょう。
④ 安全な接続を確立する
社外から社内ネットワークに接続する際は、利用するネットワークの安全性に注意しなければなりません。公衆Wi-Fiの場合、不特定多数が利用するため、同じ Wi-Fi に接続している悪意あるユーザーによって通信を傍受される危険があります。また、攻撃者が SSID とパスワードを本物のアクセスポイントと同じ設定にした偽装Wi-Fi を仕掛ける場合もあります。従って、公衆Wi-Fi を介しての ID やパスワード・個人情報の入力、ECサイト・ネットバンキングの利用は危険な行為と言えます。
以上のように、テレワーク導入はさまざまなリスクに晒されています。コストとの見合いもありますが、十分リスクを認識し、対策を立てることが必要となります。
NPO法人中野中小企業診断士会 堀川 一