ガートナージャパン株式会社 (本社:東京都港区、以下ガートナー) は、企業がテレワークのセキュリティを検討する際に、最低限認識すべき9つの基本事項および解決策を発表しました。
新型コロナウイルスの感染拡大防止対応の一環として、多くの企業は、テレワークを実施できる環境を急ぎ整備する必要に迫られています。とはいえ、これまでテレワークを検討してこなかった企業の場合、そもそもテレワークのセキュリティについて何から始めればよいかが分からず、テレワーク自体の検討や実施が思うように進んでいません。また、既にテレワークを実施している企業であっても、これまでは短期的な利用、限定的な実施にとどまっていたため、今回の感染症対応のような長期的になり得る全社規模でのテレワークの実施はもともと想定していなかったというケースが見られ、改めてテレワークとそのセキュリティを見直す必要に迫られています。
ガートナーのアナリストでシニア プリンシパルの矢野 薫は、企業がテレワークのセキュリティについて検討する上でしばしば直面する疑問点を9つにまとめ、最低限認識すべき基本事項を以下のように解説しています。
疑問1. これからテレワークを実施する場合、セキュリティについて何から始めればよいか
まずはテレワーク用の新たなセキュリティ・ルールを作るところから始めます。これまでのセキュリティ・ルールを当てはめようとしてもこれまでの環境とは前提条件が異なるため、不整合が起こる可能性があります。したがって無理にそのまま適用させるべきではありません。また、特にテレワークの場合には、デバイスやデータの取り扱いルールについての見直し、従業員向けのトレーニングの実施、通達の発信、インシデントに対応する社内体制の再強化など、併せて検討すべき事項があると認識しておくことも肝要です。
疑問2. 早急に例外的な対応が必要となった場合、どうすればよいか
緊急で対応する必要があるものについて、例外的な対応の範囲をできるだけ小さく絞れるものから検討します。情報漏洩などのインシデントが発生した場合の影響を最小限に抑えられるようにするためです。また、この例外的な対応がすべてのケースに適用できるわけではなく、恒久的な対応として継続できるわけでもない点に関して、事前に従業員の理解を得ておくことが重要です。
疑問3. セキュリティが十分ではないのに「それでもとにかくテレワークを実施したい」という要望が上がってきた場合、どうすればよいか
ITやセキュリティ部門で無理に抱え込まず、経営者やビジネス・リーダーと早急に議論し、自社では時間や予算面を含めてどの範囲なら実施可能かについて合意を形成することが必要です。このような議論はもはやセキュリティの範囲にとどまらず、ビジネス・リスクに関わるものでもあります。これをITやセキュリティ部門で解決しようとしても、局所的な対処となりビジネス上の不整合の解消には至りません。経営上層部との議論をいかにリードしていくかに時間と労力を割くべきです。
疑問4. 会社支給のノートPCの利用をセキュアにするには、どうすればよいか
「社内で利用しているPCと同様のセキュリティ対策」と「テレワークで必要となる固有のセキュリティ対策」を分けて整理すること、そしてその上でテレワークという新たな環境を前提としたセキュリティ対策を打ち出すことが必要です。その際には、社内で利用しているPCと同じセキュリティ対策を適用する (例:外部記憶媒体の制御、マルウェア対策、セキュリティ・パッチの更新、操作ログの取得) 以外にも、デバイスの盗難や紛失、情報漏洩への備えや、デバイスからアクセスする際の通信の保護など、テレワークという新しい環境を鑑みた複合的な対策を検討することが必要です。
疑問5. 個人所有のPCを業務に利用してもよいか
企業レベルで求められるようなセキュリティ機能を個人所有のPCに実装することが難しいため、これは広く推奨できるものではありません。どうしても利用する必要がある場合には、デバイスにデータが保存されないような仕組みと併せて行うなど、限定的なケースでの例外的な対応とするのが現実的です。
疑問6. 個人所有のスマートフォンを業務に利用してもよいか
会社側が管理できる仕組みを実装すれば、利用を許可できる可能性があります。ただし、緊急時以外は、メールの利用など部分的な範囲に絞った実施でスタートするのが現実的です。デバイス管理ツールとしては、会社支給のスマートフォンと同様に、ユニファイド・エンドポイント管理 (UEM) やエンタプライズ・モビリティ管理 (EMM) のようなツールを用いることが考えられます。
疑問7. Office365 (Microsoft 365) やG Suiteのようなクラウド・オフィス・サービスを、PCからの直接接続で利用したい場合、どのようにすべきか
ガートナーは、少なくとも「ユーザーの成り済まし」「情報漏洩」「インシデント対応」の3点に備えるための設定を施しておくことを推奨します。例えば、パスワード認証とそれ以外の手段を組み合わせるなど、複数の方法でユーザーを特定できるようにする、情報漏洩に備えクラウド上のデータを他人に見られないようにする、ユーザーごとにデータ/ファイルの読み取り、コピー、印刷、ダウンロードといった操作を制限する、記録を残す、などの対策が考えられます。
疑問8. ファイル共有サービスをセキュアに利用するには、どうしたらよいか
ビジネス向けに有償で提供されているツールの利用を前提に、フォルダやファイルへのアクセス設定をユーザー自らが行うための利用ルールを定め、周知するところから始めることを推奨します。このようなサービスは、外部との積極的なコラボレーションを目的としているため、ユーザーのアクセス権の設定や外部ユーザーへの公開設定などをユーザー自ら設定する必要があるという点に注意が必要です。
疑問9. チャットやWeb会議ツールを使う場合、どのような点に注意すべきか
ビジネス向けに有償で提供されているツールの利用を前提に、基本のセキュリティ設定をIT部門で一元管理できるようにします。その際には、ビジネス向けツールを提供するベンダーのソリューションの中でも、セキュリティに意欲的に取り組み、既に顧客の信頼を確立しているものを第1候補として検討します。取引先の要望で先方が指定するツールを利用しなければならないケースもありますが、こういった場合は例外的な利用にとどめるべきです。
前出の矢野は、テレワークのセキュリティについて次のように述べています。
「セキュリティに対する不安を抱えたままテレワークを進めると、セキュリティだけでなく利便性までも阻害することになりかねません。テレワークの推進に当たっては、セキュリティに関する混乱に一つ一つ丁寧に対応しつつ、上で解説したセキュリティの基本を着実に進めていくような強力なリーダーシップが、ITやセキュリティのリーダーには求められています」
ガートナーのサービスをご利用のお客様は、ガートナー・レポート「テレワーク・セキュリティの基本を押さえるためのFAQ」(INF-20-60) で詳細をご覧いただけます。
ガートナーのサービスについては、こちらをご参照ください。
https://www.gartner.com/jp/products
ガートナーのニュースや最新情報は、Twitterでもご覧いただけます。