コラムCOLUMN

テレワーク活用時のセキュリティ対策

コラム
テレワーク活用時のセキュリティ対策

新型コロナウイルスの発生・全国に感染拡大を受け、経済産業省・厚生労働省・国土交通省の大臣は企業へ時差通勤やテレワークの推進を要請し、各企業はテレワークの実施に踏み切っています。個人でのマスクや消毒液の確保も難しく「従業員の安全確保」の観点や「BCP(事業継続計画)」の一つとして、早急なテレワーク導入を検討する企業が、認識しておくべきリスクとセキュリティ対策をセキュリティアとして考えてみました。

テレワーク時の脅威と脆弱性

テレワーク時の脅威と脆弱性

「社内で仕事する」と「テレワークで仕事する」の情報セキュリティにおける違いは、従業員以外の第三者の立ち入りの可能性がある点です。一般的にテレワークは情報や通信がインターネットを経由したり、持ち運びが容易なノートパソコン等の端末を利用します。そのため、多層的なセキュリティが出来ている社内・職場に比べて、ウイルスの感染や端末紛失・盗難、通信内容の盗聴等の脅威に気を付ける必要があります。

テレワーク導入時の3つのポイント

テレワーク導入に向けた3つのポイントは、「情報資産のリスク分析」「ルールの整備・周知」「インフラの整備」です。

1.情報資産のリスク分析

まずは自社にある情報資産の棚卸をし、現在所有している情報資産の把握をします。そのうえで、テレワークの導入において、どのような脅威や脆弱性等のリスクがあるのかを十分に認識する必要があります。例えば、テレワークを実現するためには顧客データ等の個人情報や機密情報等の持出しが必要になるため、紛失・盗難・盗聴、脆弱な端末を狙ったサイバー攻撃、第三者による不正アクセス等による情報漏えい等のリスクがあります。テレワークの導入時にはリスクを十分に認識した上で、どのようにリスクを回避するのか分析をし、BCPも念頭に入れた情報セキュリティ対策を検討することが必要です。

2.ルールの整備・周知

職場とは異なる環境で仕事をすることになるため、自社内での業務を前提としたルールではなく、新たにルールを定める必要があります。例えば、「不審なメールは開封せずに、怪しいと思ったらシステム管理者へすぐに連絡をする」「万が一、外出時にモバイル機器を紛失してしまった場合は直ちに連絡する」「許可を得ていないWi-Fiへの接続を禁止する」等、「こうやって仕事をすれば安全を確保できる」という仕事のやり方をルール化し、テレワーク勤務者やシステム管理者等の関係者がルールの趣旨を理解し、遵守することが必要です。また、テレワーク勤務者が情報セキュリティに関する知識を習得していることで、標的型攻撃やフィッシング等の被害を減らすことができるため、教育も必要になります。

3.インフラの整備

リスク分析で挙がったリスクの中から、「ルール」や「人」では対応できない部分を補完するために、技術的な対策をしていきます。様々な脅威に対する対応策として、「ルール」や「人」で対応するものと「技術的」に対応するものとでリスク回避のしやすさに差が出てきますが、全てを100%にすることは困難なため、自社の情報資産の重要度と情報漏えい等のインシデント発生時の影響度を分析し、自社に合ったコストとリスク回避のバランスを考えたベストな環境を構築することが必要です。尚、技術的対策として、「認証」「検知」「制御」「防御」等を自動的に実施するものがありますが、テレワーク先の環境の多様性を考慮して、適切に対策を講じておく必要があります。

弊社サービス:CISO羅針盤

緊急時のテレワークで考慮すべき点

今回は新型コロナ等の感染症対策に目を向け、テレワークの中でも「在宅勤務」を前提とした即時対応可能な方法を考えます。

【端末編】

社内端末持ち出しを許可

対策例)
  • 紛失・盗難防止にリモートワイプを利用
  • テレワーク端末のOSやソフトウェアは最新のアップデートをあてる
  • フィルタリングを用いて危険なサイトにアクセスしないように設定する
  • 端末の操作ログを取得する
  • 私物端末利用を許可
対策例)
  • セキュリティソフトやOSの確認パーソナルFWを起動する
  • 社内端末へリモートデスクトップ等で私物端末にデータを残さないようにする
  • 付与した社内ネットワークへのアクセス権の管理
  • 紛失・盗難対策にMDMを利用する
    ※持ち出し用端末を新たに用意は時間がかかるため、今回は除外しております。

【通信経路編】

  • 怪しいアクセスポイントへの接続をしない
  • 重要情報は必ず暗号化をして送る
  • VPN等通信の暗号化を利用する

【社内システム編】

  • 社内システム内にある重要な電子データを安全な領域に格納する
  • 情報消失のためのバックアップを作成する
  • 社員なりすまし防止のため、認証を強化する
  • 社内システムの利用状況についてアクセスログを取得する
  • 安全を確認したクラウドサービスを利用する

セキュリティアのオススメ対策例

安全なリモートデスクトップ接続ツール

弊社取り扱い対応製品SPG-Remote、MagicConnect

効果:組織外(自宅等)から組織内PCを操作することが出来ます。通信経路もVPNで暗号化されており、メーカのセンターを利用し組織内PCの画面を転送することで直接社内PCに接続せず、また組織外にデータを持ち出すことなく普段と同じPC画面で操作することが出来ます。

なりすまし防止認証強化ツール

弊社取り扱い対応製品Swivel secure

効果:組織内と組織外で情報のやり取りにクラウドサービスやVPN(仮想プライベートネットワーク)やVDI(仮想デスクトップ)を利用する場合、システムにアクセスする際の認証をワンタイムパスワードを利用して強化し、なりすまし防止をします。トークンレスの運用も可能で、新たにトークンを用意する必要がなく利用が出来ます。

クラウド型アンチウイルス

弊社取り扱い対応製品:MR-EP(Webroot)、シマンテック等

効果:持ち出しPCやBYOD端末等の組織外でも最新のアンチウイルスを利用でき、クラウドの管理コンソールで管理・制御が可能です。管理サーバやバージョン管理もなく、インターネットの接続さえあれば、クライアントの場所を問わず常に最新のセキュリティを利用できます。

まとめ

安全なテレワーク環境とは、「外部からのアクセスは許された人のみ」が「安心して使用できる端末」で「安心な経路」を通ってアクセスできる環境です。テレワーク環境と合わせて必要なセキュリティ対策を導入し、出勤せずとも事業を継続できる環境の構築をセキュリティアはお手伝いします!

出展:総務省 テレワークセキュリティガイドライン(第3版)
出展:テレワーク相談センター

カテゴリー

最新記事