BYOD
新型コロナウイルス感染症(COVID-19)の大流行により、多くの企業が在宅勤務を採用しつつあります。中には、これまで在宅での勤務を検討したことがなかった企業もあります。その場合、テレワークに関するポリシーがなく、テレワークへ切り替えることに伴うリスクについて十分考慮されていない可能性があります。この記事では、リスクを軽減するための方法をまとめました。
通常のオフィス勤務との違いは、社員同士が対面でコミュニケーションを取れないことだけではありません。テレワークに際して考慮したい観点として、たとえば通信経路、日々の定常業務、コラボレーションツール、業務用デバイス、デバイスへのアクセスがあります。
通信経路
社員が社内LANを使って会社内で仕事をしている場合、データをやり取りするプロセスは、自社に導入されているセキュリティソリューションの管理下にあります。しかし、社員が自宅から仕事をする場合は、「インターネットサービスプロバイダー(ISP)」という変数を方程式に加えなければなりません。ISPのセキュリティ手段に関しては知り得るところがなく、コントロールが及びません。また、家庭のインターネット接続環境は、それを使う社員だけでなく、攻撃者となり得る人物がアクセス可能な状態かもしれません。したがって、こうした通信経路では企業秘密を含む通信をしないほうが賢明です。
解決策:社員が企業リソースにリモートアクセスしなくてはならない場合は、社員が使うワークステーションと自社インフラとの間の通信が外部から干渉されないように、信頼のおけるVPNで通信経路を保護しましょう。同時に、VPNを使用しないと企業リソースに接続できないようにしてください。
定常業務
在宅勤務中は、対面で業務の話をすることができません。そこで、メールによる通信の増加が見込まれます。また、これまで口頭でコミュニケーションを取っていた人々がメールを使うようになるので、メールをやり取りする人の数も増えます。要するに、皆がオフィスで仕事をするという状況でなくなると、いつもの業務に変化が生じます。ここが攻撃者にとってつけいる隙となり、特にビジネスメール詐欺(BEC)の余地が拡大します。大量のメールが飛び交う中では、1通の怪しいメールを見きわめるのは難しいものです。何かのデータを要求する偽メールが届いたとき、いつもならおかしいと気付くようなものでも、不自然に見えない可能性があります。しかも、会社よりリラックスした自宅環境だと、警戒心が薄れがちです。
解決策:自宅にいる場合であっても業務に関しては必ず業務用メールアドレスを使用するように、社員へ徹底させましょう。このようにしてあれば、少なくとも、サイバー犯罪者が社員の誰かになりすまそうとした場合(特に、自社ドメインではないドメインが使われている場合)に見破りやすくなります。さらに、メール送信者を詐称する試みを見破れるようなソリューションを、自社のメールサーバーに適用してください。当社でも、その機能を搭載したソリューションを提供しています。これに加え、在宅勤務を開始する前にサイバー脅威に関する社員教育を実施しましょう。
コラボレーションツール
対面でのコミュニケーションが取れなくなるので、何らかのコラボレーションツールを使用することになります。ツールによっては信頼性に難があり、そうでなくても正しく設定する必要があります。たとえばGoogleドキュメントを活用する場合、アクセス権を適切に設定していないと、検索エンジンに拾われてしまい、企業データ漏洩の元になる可能性があります。クラウドストレージに保存したデータについても同様です。Slackなどのコラボレーション環境でも情報流出の可能性はありますし、無作為に追加された外部の人がファイルやメールにアクセスできるようになってしまう可能性もあります。
解決策:セキュリティ面と機能面で自社に適したコラボレーション環境を選びたいものです。コラボレーションツールの使用に当たっては、業務用メールアドレスでの登録を求めるべきです。また、必要に応じて、権限の割り当てと取り消しを専属で行う管理者を立てるのも良いでしょう。しかし、何をおいても重要なのは、在宅勤務を開始する前にセキュリティに関する意識付けのセッションを設け(オンライン開催も可)、会社から提供されたコラボレーション環境のみを使用するように徹底させることです。企業秘密の保持についての責任を改めて意識させるという意味でも有効です。
業務用デバイス
全員が全員、会社からノートPCを支給されているとはかぎりません。そして、スマートフォンではできない業務もあります。したがって、自宅のコンピューターを使う人が出てくるかもしれません。私用デバイスの業務利用(BYOD)に関するポリシーがない場合、これが大きな危険をもたらす可能性があります。
解決策:在宅勤務が必要な社員には、会社からノートPCを支給し、可能であれば電話も支給してください。当然ながら、貸与するデバイスにはセキュリティソリューションをインストールして保護をかけておく必要があります。何かあったときにデバイスから企業情報をリモートから全消去可能で、個人データと業務データの切り分けや、アプリのインストールに制限をかけることの可能なソリューションを採用しましょう。また、ソフトウェアやOSの重要なアップデートを自動的にチェックする設定にしておきましょう。
どうしても個人持ちのデバイスを使用しなければならない場合は、私用デバイスで企業データを扱う場合のBYODポリシーを導入しましょう。たとえば、業務データと個人のデータをパーティションで区切るなどです。さらに、自宅のコンピューターに個人向けセキュリティソフトウェア(無料ソフトでも可)をインストールすることを、全社員に徹底させてください。セキュリティ製品がインストールされていてOSが最新のものであるデバイスだけが企業ネットワークに接続できるようにするのが理想的です。
デバイスへのアクセス
テレワーク中、誰がどこで誰といるのかIT管理者には分かりません。たとえば、コーヒーを取りに行った社員のコンピューターの画面を誰かが見ているかもしれなくても、知りようがありません。自宅で1人で仕事をする人がいる一方、カフェやコワーキングスペースで仕事をすることを選ぶ人もいます。後者の場合、情報漏洩やセキュリティ侵害のリスクが格段に高くなります。
解決策:こういった問題のほとんどは、セキュリティポリシーで対応可能です。パスワードの使用や画面の自動ロックについての規定も、セキュリティポリシーには含める必要があります。セキュリティに関する意識付けのトレーニングも有効です。
ウェビナー<終了しました>
当社では、安全なテレワークに関するウェビナーを予定しています。当社エキスパートが、直面する可能性のあるリスクと、取り得る対策についてお話しいたします。
Remote workplace: cyber threats and how to protect from them
- 上記ページより録画をご覧いただけます
※ウェビナーおよびウェビナー説明は英語です。
※ウェビナーをご覧いただくには、BrightTALKへの登録が必要です。
ヒント