概要
従業員の働き方改革や新型コロナの感染対策の一環で、日本の企業でもテレワークの導入が推奨されています。しかし、従来の社内での業務に比べ、社外で行うテレワークについては、ネットワークや端末などの情報セキュリティの対策が十分でなく、それらを狙った攻撃が行われています。
本記事では、総務省「テレワークセキュリティガイドライン」をベースに紹介します。
テレワークの問題点
テレワークとオフィスでの仕事のセキュリティ面での違いは、その業務を行う場所にあります。
- 社内のセキュリティ対策がされたネットワーク環境ではない。
- 第三者の立ち入りが可能である。
- システム管理者の管理や監視が行き届かない。
テレワークの脅威と脆弱性は以下になります。
| 脅威 | 脆弱性 |
| マルウェア | ソフトウェアのアップデートの未実施、ウィルス定義ファイルの未更新、偽サイトへのアクセス、偽メールの添付ファイルやURLのクリック |
| 不正アクセス | 認証やアクセス制御の不備、推測されやすいパスワード、パスワードの漏えい |
| 盗聴 | 無線LANの設定不備、偽アクセスポイントへの接続、画面の覗き見 |
| 紛失・盗難 | 端末の入ったカバンの置忘れ、カフェなどで端末を放置して離席、暗号化やバックアップの未実施 |
セキュリティ対策
テレワークの特徴を踏まえ、情報資産を守るためには、ルール・人・技術のバランスが取れたセキュリティ対策を実施する必要があります。
- ルール:
テレワークを行う場合、オフィスとは異なる環境で業務を行うことから、そのセキュリティ確保のためには、新たなルールを定める必要がある。 - 人:
ルールを定着させるため、教育や啓発活動を通じてルールの趣旨を従業員自ら理解し、ルールを遵守することが自分にとってメリットになることを自覚させる。 - 技術:
技術面の対策は、ルールや人では対応できない部分を補完するものと考える。テレワークの活用方法を考慮し、利便性とセキュリティのバランスを取る。
以下、テレワークのセキュリティ対策を、経営者・システム管理者・テレワーク勤務者に分けて説明します。
経営者が行う対策
経営者の役割りとしては、全体方針の決定、体制の構築、費用の確保などを行います。さらに、危機感の共有、現状の把握、そして最終責任者であることの自覚なども重要です。
|
システム管理者が行う対策
システム監視者は、「経営者が行う対策」に基づき実際にセキュリティ対策を実施して、定期的に監査を行い、見直しを行います。以下は、テレワーク勤務者を想定したセキュリティ対策です。まず、マルウェアに対する対策は以下になります。
|
次に、盗聴や不正侵入に対する対策は以下になります。
|
また、外部サービスの利用に対する対策は以下になります。
|
テレワーク勤務者が行う対策
テレワーク勤務者は、組織内で定められたセキュリティポリシやルールなどを十分に理解し、順守する必要があります。特に、留意すべき内容は以下になります。
|
総務省|テレワークにおけるセキュリティ確保
www.soumu.go.jp
IT
マネジメント、セキュリティ、ネットワーク、システム
www.sansakuro.com
2021.04.25
散策路TOP
古典物理、量子力学、物性論、数学、応用数学、力学、電磁気学、相対論、熱・統計力学、解析学、代数学、幾何学、統計分析、情報
www.sansakuro.com
2021.03.24
