クラウドベースのエンドポイントセキュリティ製品ベンダー、米CrowdStrikeの日本支社は2020年3月23日、リモートワーク/テレワークにおけるセキュリティ上の注意点をまとめた文書を公開した。新型コロナウイルス対策の一環として導入・運用する企業に対して、6つのポイントを挙げて解説している。
新型コロナウイルス対策の一環として、リモートワーク/テレワークを導入する企業が増えているが、その実施にあたっては、サイバーセキュリティを十分に考える必要がある。CrowdStrikeは、リモートワークのセキュリティを確保するために役立つポイントを6つ挙げて、以下のように解説している。
- 現在のサイバーセキュリティポリシーにリモートワークに関するポリシーが盛り込まれていること
- 企業に接続するBYODデバイスに対する計画を策定すること
- 安全でないWi-Fiネットワークを介した機密データへのアクセスに備えること
- サイバーウイルスに対する予防策と可視性
- 新型コロナウイルスに便乗した詐欺の増加に備える継続的な従業員教育
- 危機管理およびインシデント対応計画をリモート環境の従業員も実行できること
1. 現在のサイバーセキュリティポリシーにリモートワークに関するポリシーが盛り込まれていること
ポリシーが、自宅で作業する従業員が増えた場合にも適切であるかを再確認することが重要である。セキュリティポリシーには、リモートワーカーのアクセス管理、個人用デバイスの使用、およびドキュメントやその他の情報への従業員からのアクセスに対するデータのプライバシー保護についての注意事項を含める必要がある。また、シャドーITやクラウド技術の利用が増えることについても考慮する必要がある。
2. 企業に接続するBYODデバイスに対する計画を策定すること
在宅勤務やテレワークの従業員が、個人用デバイスを使って業務を行う可能性もある。特に、サプライチェーンの停滞によって企業がデバイスを提供できなくなると、BYODデバイスの割合も高まる。
個人用デバイスにも、企業所有のデバイスと同レベルのセキュリティが必要である。また、従業員所有のデバイスをビジネスネットワークに接続する場合は、従業員のプライバシーについても考慮しなければならない。
3. 安全でないWi-Fiネットワークを介した機密データへのアクセスに備えること
在宅勤務やテレワークの従業員が、オフィスのファイアウォールのようなセキュリティ制御がない自宅のWi-Fiネットワークを介して企業の機密データにアクセスする可能性がある。
リモートからの接続が増えるにつれて、データ保護に対して、より一層注力する必要が出てくる。さらに、増大するエントリーポイントからの侵入にも対応しなければならない。
4. サイバー(コンピュータ)ウイルスに対する予防策と可視性
個人用デバイスのセキュリティレベルが劣っていることは珍しくない。従業員が在宅勤務やテレワークになると、企業はリモートのデバイスに対する可視性を失い、これらの設定がどうなっているか、パッチは適用されているか、あるいは、セキュリティ保護が行われているかすら把握できなくなる。
5. 新型コロナウイルスに便乗した詐欺の増加に備える継続的な従業員教育
新型コロナウイルス(COVID-19)に便乗した詐欺が増えることを想定し、継続的な従業員教育が不可欠である。WHOと米国連邦取引委員会(FTC)は、コロナウイルスに便乗したフィッシング攻撃や詐欺が発生していることを警告している。エンドユーザーに対する継続的な教育とコミュニケーションが大切である。リモートワーカーが迅速にIT部門に連絡してアドバイスを受けられる環境を確保する必要がある。
6. 危機管理およびインシデント対応計画をリモート環境の従業員も実行できること
異常な状況下で発生したサイバーインシデントは、制御不能となる可能性が大いにある。会議ソフトウェアやメッセージソフトウェア、生産性向上のためのアプリケーションなどを活用する必要がある。侵害されたマシンの復旧や交換などの特定のタスクを、物理的なアクセスや遠方から出張してくる技術者に依存して行っている場合は、代わりとなる方法や、ローカルのリソースを探しておくべきである。