テレワークのセキュリティ対策

/アセスメント

概要

従業員の働き方改革や新型コロナの感染対策の一環で、日本の企業でもテレワークの導入が推奨されています。しかし、従来の社内での業務に比べ、社外で行うテレワークについては、ネットワークや端末などの情報セキュリティの対策が十分でなく、それらを狙った攻撃が行われています。

本記事では、総務省「テレワークセキュリティガイドライン」をベースに紹介します。

テレワークの問題点

テレワークとオフィスでの仕事のセキュリティ面での違いは、その業務を行う場所にあります。

  • 社内のセキュリティ対策がされたネットワーク環境ではない。
  • 第三者の立ち入りが可能である。
  • システム管理者の管理や監視が行き届かない。

テレワークの脅威と脆弱性は以下になります。

脅威 脆弱性
マルウェア ソフトウェアのアップデートの未実施、ウィルス定義ファイルの未更新、偽サイトへのアクセス、偽メールの添付ファイルやURLのクリック
不正アクセス 認証やアクセス制御の不備、推測されやすいパスワード、パスワードの漏えい
盗聴 無線LANの設定不備、偽アクセスポイントへの接続、画面の覗き見
紛失・盗難 端末の入ったカバンの置忘れ、カフェなどで端末を放置して離席、暗号化やバックアップの未実施

セキュリティ対策

テレワークのセキュリティ対策を、経営者・システム管理者・テレワーク勤務者に分けて説明します。

経営者が行う対策

経営者の役割りとしては、全体方針の決定、体制の構築、費用の確保などを行います。さらに、危機感の共有、現状の把握、そして最終責任者であることの自覚なども重要です。

  • 情報セキュリティポリシを定める。
  • 組織で扱う情報を重要度のレベルに分け、取扱い方法を定める。
  • テレワーク勤務者に対して、定期的に教育・啓発活動を行う。
  • セキュリティ事故の発生に備えて、連絡体制や応急対応の体制を構築する。

システム管理者が行う対策

システム監視者は、「経営者が行う対策」に基づき実際にセキュリティ対策を実施して、定期的に監査を行い、見直しを行います。以下は、テレワーク勤務者を想定したセキュリティ対策です。まず、マルウェアに対する対策は以下になります。

  • Webフィルタを用いて、危険なサイトにアクセスさせない。
  • テレワーク用端末へは、許可したアプリケーションのみインストールさせる。
  • テレワーク用端末にウイルス対策ソフトをインストールし、定義ファイルを最新にする。
  • テレワーク用端末のOSやアプリケーションは最新の状態を保つ。
  • 重要なデータのバックアップを、社内システムから切り離した状態で保存する。

次に、盗聴や不正侵入に対する対策は以下になります。

  • テレワーク端末において無線LAN の脆弱性対策が適切に講じる。
  • 社内システムとインターネットの境界には、ファイアウォールやルータ等を設置する。
  • 社外から社内システムへアクセスする際は利用者認証を行う。
  • 社外から社内システムへのアクセス状況を監視し、不必要なアクセスを遮断する。

また、外部サービスの利用に対する対策は以下になります。

  • SNSなどの利用ルールやガイドラインを整備する。
  • ファイル共有サービスなどのクラウドサービスの利用ルールを整備する。

テレワーク勤務者が行う対策

テレワーク勤務者は、組織内で定められたセキュリティポリシやルールなどを十分に理解し、順守する必要があります。特に、留意すべき内容は以下になります。

  • 定められた情報のレベル分けとレベルに応じたルールに従って取り扱う。
  • セキュリティに関する教育・啓発活動に積極的に取り組む。
  • セキュリティ事故の発生に備えて連絡体制を確認する。
  • 社外に情報資産を持ち出す場合は、安全な場所に保存する。
  • 第三者のいる場所で作業を行う場合、端末の画面にプライバシーフィルタを装着するなど、画面の覗き見の防止に努める。

 

IT
情報セキュリティ、ISMS、リスク分析、ログ分析、送信ドメイン認証、公開鍵基盤、CSIRT、情報セキュリティ対策ベンチマーク
数理の散策路
力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学

Wikipedia

 

タイトルとURLをコピーしました