ガートナージャパンは、企業がテレワークのセキュリティを検討する際に、最低限認識すべき9つの基本事項、および解決策を4月24日に発表した。
今回、同社が発表した9つの疑問と、それに対応する基本事項は以下の通り。
- 疑問1:これからテレワークを実施する場合、セキュリティについて何から始めればよいか
- 疑問2:早急に例外的な対応が必要となった場合、どうすればよいか
- 疑問3:セキュリティが十分ではないのに「それでもとにかくテレワークを実施したい」という要望が上がってきた場合、どうすればよいか
- 疑問4:会社支給のノートPCの利用をセキュアにするには、どうすればよいか
- 疑問5:個人所有のPCを業務に利用してもよいか
- 疑問6:個人所有のスマートフォンを業務に利用してもよいか
- 疑問7:Office365(Microsoft 365)やG Suiteのようなクラウド・オフィス・サービスを、PCからの直接接続で利用したい場合、どのようにすべきか
- 疑問8:ファイル共有サービスをセキュアに利用するには、どうしたらよいか
- 疑問9:チャットやWeb会議ツールを使う場合、どのような点に注意すべきか
疑問1については、これまでのセキュリティルールをテレワークに当てはめようとしても、前提条件が異なるため不整合が起こる可能性があることから、無理にそのまま適用させるべきではないとしている。デバイスやデータの取り扱いルールについての見直し、従業員向けのトレーニングの実施、通達の発信、インシデントに対応する社内体制の再強化などを、あわせて認識することを求めている。
疑問2については、情報漏洩などのインシデントが発生した場合の影響を最小限に抑えるため、例外的な対応の範囲をできるだけ小さく絞れるものから検討を、と薦める。
疑問3については、ITやセキュリティ部門で無理に抱え込まず、経営者や事業部門のビジネス・リーダーと早急に議論すべき、としている。時間や予算面を含め、自社ではどの範囲なら実施可能かについて合意を形成することが必要と訴える。
疑問4については、外部記憶媒体の制御、マルウェア対策、セキュリティ・パッチの更新、操作ログの取得といった、社内利用のPCと同じセキュリティ対策を適用する。そのうえで、デバイスの盗難や紛失、情報漏洩への備え、デバイスからアクセスする際の通信の保護など、テレワークを鑑みた複合的な対策が必要になる。
疑問5については、企業レベルで求められるようなセキュリティ機能を個人所有のPCに実装することが難しいため、広く推奨できない。どうしても利用する必要がある場合には、デバイスにデータが保存されないような仕組みと組み合わせるなど、限定的なケースでの例外的な対応が現実的としている。
疑問6については、会社側が管理できる仕組みを実装すれば利用も可能。しかし緊急時以外は、メールの利用など部分的な範囲に絞った実施でスタートするのが現実的とする。
疑問7については、最低でも「ユーザーのなりすまし」「情報漏洩」「インシデント対応」を防ぐ設定を推奨している。例として、多因子認証などによる複数の方法でのユーザー特定、クラウドに保存するデータの保護、ユーザーごとのデータ/ファイルの読み取り、コピー・印刷・ダウンロードなどの制限が挙げられている。
疑問8については、ビジネス向けに有償で提供されているツールの利用を前提としている。そのうえで、フォルダやファイルへのアクセス設定についてユーザー自身が利用ルールを定め、周知するところから始めることを推奨する。
疑問9については、ファイル共有サービスと同じくビジネス向け有償ツールの利用を前提とするが、基本のセキュリティ設定をIT部門で一元管理できるようにする。またビジネス向けツールを提供するベンダーのソリューションの中でも、セキュリティに意欲的に取り組み、すでに顧客の信頼を確立しているものを第1候補として検討することを求めている。
