テレワークを実施するにあたり、具体的にどのようなセキュリティ対策を実践すれば良いのでしょうか。主な取り組みとしては、以下のような施策が挙げられます。
ガバナンス強化
テレワークのセキュリティ対策を強化するにあたり、まず取り組む必要があるのがガバナンスの強化です。オフィス勤務に特化したセキュリティポリシーではなく、テレワークありきのポリシーへとアップデートを実施し、対策漏れを防ぐための前提を整備します。新たに策定したセキュリティポリシーをもとに、セキュリティ対策のために配置する人員や確保すべき予算の見直しを進めましょう。
テレワークを実施するにあたり、どのような対策が必要なのか、現行のルールではカバーしきれないケースはどのようなものかなどを整理することも大切です。現場へのヒアリングや運用状況の調査を行い、検討事項を整理します。
資産の保護
テレワークは基本的に、会社から端末や業務に必要な備品を貸し出すことで実施するのが一般的です。社用の備品を社外に持ち出す機会が従来よりも一段と増えるため、紛失や盗難を回避するためにも、これらの資産を保護するための取り組みが求められます。
テレワーク端末のシリアルナンバーや使用者の照合はもちろん、端末上で運用するアプリケーションやセキュリティ対策についても会社で指定し、全ての端末を会社が定めたセキュリティ基準を満たしている状態を実現しなければなりません。遠隔からでも運用状況を管理できるよう、許可されていないアプリのインストールなどに対して警告を発し、従業員の運用環境をコントロールする仕組みづくりも必要です。
脆弱性対策
セキュリティ技術は日々進化していると同時に、未知のサイバー攻撃のリスクも次々と現れています。このような激しいトレンドの変化に対応するため、常に最新の脆弱性対策を施せるような体制を構築しなければなりません。
古くなったOSやソフトウェアは全て自動でアップデートされ、最新のセキュリティパッチが適用された状態で運用できるよう、環境を整備しましょう。従業員による手動でのアップデートに任せていると、アップデート対応が遅れ、サイバー攻撃被害を受けるリスクの増大につながります。
管理者によるリモートアクセスを各端末で行えるようにして、必要に応じてセキュリティアップデートを一斉に実行できる仕組みの整備も効果的です。メーカーのサポートが終了している端末やソフトの利用、セキュリティアップデートが行われていないWi-Fiルーターの利用などを控えるよう、従業員に呼びかけることも求められます。
アクセス権限の見直し
不用意に高度な機密情報に触れられないよう、従業員のアクセス権限を整理する工程は、機密情報の漏えいを回避する上で非常に重要です。テレワークを実施する際も、テレワーク端末からのアクセスを従業員のレイヤーに応じて制限し、高レベルの情報は社内端末からしかアクセスできない仕組みを整えましょう。例え高レベルのアクセス権限を持つ管理者であっても、不用意な情報流出を回避できるよう、高度なパスワードポリシーを適用する必要があります。
端末そのものにアクセス制限を設定したり、IPアドレスで制限をかけたりと、情報特権の管理には複数のアプローチがあります。必要に応じて最適な手法を選べるのが理想です。
データの保護
アクセス権限を見直すだけでなく、アクセスが許可された情報の取り扱いについても、最新の注意を払わなければなりません。テレワーク環境で利用する情報はどのようなものか、どんな保存媒体を使って従業員が管理するのか、記憶媒体を廃棄する場合、どのようなプロセスに基づいて処分するのか、細かく定めることが必要です。
万が一端末を紛失したり、盗難に遭ったりした場合、どのようにデータを処分するのかを定めておくのも重要になります。遠隔操作でデータを初期化できる仕組みの整備など、データの流出リスクを最小限に抑えられるルールやセットアップを心がけましょう。
マルウェア対策
基本的なセキュリティソフトの導入による、マルウェアの脅威の排除はオフィスワーク・テレワークを問わず必須の対策です。最新ソフトのインストールやアップデートにより、多くの脅威を排除するとともに、定期的なウイルススキャンによって潜在リスクを事前に解消します。
万が一マルウェアの感染が確認された場合も、セキュリティソフトが正しく検知すれば即座にマルウェアを隔離し、除去して被害を未然にふぐことができるでしょう。
通信環境の見直し・保護
通常のインターネット接続ではなく、VPNを会社で用意し、暗号化された状態で通信を行える環境づくりもテレワークのセキュリティ強化においては重要です。従業員の無線LAN環境が脅威にさらされている場合、どれだけ端末上でセキュリティを施していても、通信状況が第三者から覗き見できるようでは、対策の意味がありません。
暗号化通信によって覗き見を回避できる、VPN環境を整備しましょう。
認証管理の強化
従業員のアカウント管理におけるポリシーを見直すことで、IDやパスワードの流出による不正アクセスのリスクを回避することができます。複雑なパスワードを改めて設定しなおしたり、多要素認証を採用したりすれば、安易な従業員アカウントへの不正アクセスのリスクを大幅に小さくすることが可能です。
最新情報の収集
日々変化するセキュリティ事情に目を向け、最新の動向をチェックするルーティンを管理者が身につけることは、未知の脅威から会社を守る重要な習慣です。最新の脅威や対策方法へのアンテナを張っておき、会社の課題に応じて適宜導入を検討することがセキュリティ対策において求められます。
継続的な教育
仕組みを整備するだけでなく、社員を継続的に教育することもセキュリティ対策の一環です。どのような振る舞いやIT利用がセキュリティリスクを招くのか、管理者はもちろん、一般従業員にも広く周知し、自発的にリスクを回避してもらえるよう促します。