テレワークのセキュリティ対策

/アセスメント

2022.05.15 2021.08.21

目次

概要
テレワークの問題点
セキュリティ対策

概要

従業員の働き方改革や新型コロナの感染対策の一環で、日本の企業でもテレワークの導入が推奨されています。しかし、従来の社内での業務に比べ、社外で行うテレワークについては、ネットワークや端末などの情報セキュリティの対策が十分でなく、それらを狙った攻撃が行われています。

本記事では、総務省「テレワークセキュリティガイドライン」をベースに紹介します。

テレワークの問題点

テレワークとオフィスでの仕事のセキュリティ面での違いは、その業務を行う場所にあります。

社内のセキュリティ対策がされたネットワーク環境ではない。
第三者の立ち入りが可能である。
システム管理者の管理や監視が行き届かない。

テレワークの脅威と脆弱性は以下になります。

脅威	脆弱性
マルウェア	ソフトウェアのアップデートの未実施、ウィルス定義ファイルの未更新、偽サイトへのアクセス、偽メールの添付ファイルやURLのクリック
不正アクセス	認証やアクセス制御の不備、推測されやすいパスワード、パスワードの漏えい
盗聴	無線LANの設定不備、偽アクセスポイントへの接続、画面の覗き見
紛失・盗難	端末の入ったカバンの置忘れ、カフェなどで端末を放置して離席、暗号化やバックアップの未実施

セキュリティ対策

テレワークのセキュリティ対策を、経営者・システム管理者・テレワーク勤務者に分けて説明します。

経営者が行う対策

経営者の役割りとしては、全体方針の決定、体制の構築、費用の確保などを行います。さらに、危機感の共有、現状の把握、そして最終責任者であることの自覚なども重要です。

情報セキュリティポリシを定める。
組織で扱う情報を重要度のレベルに分け、取扱い方法を定める。
テレワーク勤務者に対して、定期的に教育・啓発活動を行う。
セキュリティ事故の発生に備えて、連絡体制や応急対応の体制を構築する。

システム管理者が行う対策

システム監視者は、「経営者が行う対策」に基づき実際にセキュリティ対策を実施して、定期的に監査を行い、見直しを行います。以下は、テレワーク勤務者を想定したセキュリティ対策です。まず、マルウェアに対する対策は以下になります。

Webフィルタを用いて、危険なサイトにアクセスさせない。
テレワーク用端末へは、許可したアプリケーションのみインストールさせる。
テレワーク用端末にウイルス対策ソフトをインストールし、定義ファイルを最新にする。
テレワーク用端末のOSやアプリケーションは最新の状態を保つ。
重要なデータのバックアップを、社内システムから切り離した状態で保存する。

次に、盗聴や不正侵入に対する対策は以下になります。

テレワーク端末において無線LAN の脆弱性対策が適切に講じる。
社内システムとインターネットの境界には、ファイアウォールやルータ等を設置する。
社外から社内システムへアクセスする際は利用者認証を行う。
社外から社内システムへのアクセス状況を監視し、不必要なアクセスを遮断する。

また、外部サービスの利用に対する対策は以下になります。

SNSなどの利用ルールやガイドラインを整備する。
ファイル共有サービスなどのクラウドサービスの利用ルールを整備する。

テレワーク勤務者が行う対策

テレワーク勤務者は、組織内で定められたセキュリティポリシやルールなどを十分に理解し、順守する必要があります。特に、留意すべき内容は以下になります。

定められた情報のレベル分けとレベルに応じたルールに従って取り扱う。
セキュリティに関する教育・啓発活動に積極的に取り組む。
セキュリティ事故の発生に備えて連絡体制を確認する。
社外に情報資産を持ち出す場合は、安全な場所に保存する。
第三者のいる場所で作業を行う場合、端末の画面にプライバシーフィルタを装着するなど、画面の覗き見の防止に努める。

アセスメント、セキュリティ、ネットワーク、システム

力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学

タイトルとURLをコピーしました