ガートナージャパンは2020年4月24日、企業がテレワークのセキュリティを検討する際に、最低限認識すべき9つの基本事項および解決策を発表した。
新型コロナウイルス感染症防止対策の一環として、多くの企業が急遽テレワーク環境の整備を進めている。とはいえ、これまでテレワークを検討してこなかった企業の場合、そもそもテレワークのセキュリティについて何から始めればよいかが分からず、テレワーク自体の検討や実施が思うように進んでいないのが実態だ。
また、既にテレワークを実施している企業であっても、これまでは短期的・限定的な利用にとどまっていたため、今回のような長期的になり得る全社規模での実施はもともと想定していなかったというケースが見られ、改めてテレワークとそのセキュリティを見直す必要に迫られている。
ガートナー アナリスト シニア プリンシパルの矢野薫氏は、企業がテレワークのセキュリティについて検討する上でしばしば直面する疑問点を9つにまとめ、最低限認識すべき基本事項を以下のように解説している。
1. これからテレワークを実施する場合、セキュリティについて何から始めればよいか
まずはテレワーク用の新たなセキュリティ・ルールを作るところから始める必要がある。これまでのセキュリティ・ルールを当てはめようとしてもこれまでの環境とは前提条件が異なるため、不整合が起こる可能性があるため、無理にそのまま適用させるべきではない。また、特にテレワークの場合には、デバイスやデータの取り扱いルールについての見直し、従業員向けのトレーニングの実施、通達の発信、インシデントに対応する社内体制の再強化など、併せて検討すべき事項があると認識しておくことも肝要だ。
2. 早急に例外的な対応が必要となった場合、どうすればよいか
緊急で対応する必要があるものについては、例外的な対応の範囲をできるだけ小さく絞れるものから検討する。情報漏洩などのインシデントが発生した場合の影響を最小限に抑えられるようにするためだ。また、この例外的な対応がすべてのケースに適用できるわけではなく、恒久的な対応として継続できるわけでもない点に関して、事前に従業員の理解を得ておくことが重要である。
3. セキュリティが十分ではないのに「それでもとにかくテレワークを実施したい」という要望が上がってきた場合、どうすればよいか
ITやセキュリティ部門で無理に抱え込まず、経営者やビジネス・リーダーと早急に議論し、自社では時間や予算面を含めてどの範囲なら実施可能かについて合意を形成することが必要だ。このような議論はもはやセキュリティの範囲にとどまらず、ビジネス・リスクに関わるものでもある。これをITやセキュリティ部門で解決しようとしても、局所的な対処となりビジネス上の不整合の解消には至りません。経営上層部との議論をいかにリードしていくかに時間と労力を割くべき。
4. 会社支給のノートPCの利用をセキュアにするには、どうすればよいか
「社内で利用しているPCと同様のセキュリティ対策」と「テレワークで必要となる固有のセキュリティ対策」を分けて整理すること、そしてその上でテレワークという新たな環境を前提としたセキュリティ対策を打ち出すことが必要となる。その際には、社内で利用しているPCと同じセキュリティ対策を適用する (例:外部記憶媒体の制御、マルウェア対策、セキュリティ・パッチの更新、操作ログの取得) 以外にも、デバイスの盗難や紛失、情報漏洩への備えや、デバイスからアクセスする際の通信の保護など、テレワークという新しい環境を鑑みた複合的な対策を検討することが必要だ。
5. 個人所有のPCを業務に利用してもよいか
企業レベルで求められるようなセキュリティ機能を個人所有のPCに実装することが難しいため、これは広く推奨できるものではない。どうしても利用する必要がある場合には、デバイスにデータが保存されないような仕組みと併せて行うなど、限定的なケースでの例外的な対応とするのが現実的である。
6. 個人所有のスマートフォンを業務に利用してもよいか
会社側が管理できる仕組みを実装すれば、利用を許可できる可能性がある。ただし、緊急時以外は、メールの利用など部分的な範囲に絞った実施でスタートするのが現実的。デバイス管理ツールとしては、会社支給のスマートフォンと同様に、ユニファイド・エンドポイント管理 (UEM) やエンタプライズ・モビリティ管理 (EMM) のようなツールを用いることが考えられる。
7. Office365 (Microsoft 365) やG Suiteのようなクラウド・オフィス・サービスを、PCからの直接接続で利用したい場合、どのようにすべきか
ガートナーは、少なくとも「ユーザーの成り済まし」「情報漏洩」「インシデント対応」の3点に備えるための設定を施しておくことを推奨する。例えば、パスワード認証とそれ以外の手段を組み合わせるなど、複数の方法でユーザーを特定できるようにする、情報漏洩に備えクラウド上のデータを他人に見られないようにする、ユーザーごとにデータ/ファイルの読み取り、コピー、印刷、ダウンロードといった操作を制限する、記録を残す、などの対策が考えられる。
8. ファイル共有サービスをセキュアに利用するには、どうしたらよいか
ビジネス向けに有償で提供されているツールの利用を前提に、フォルダやファイルへのアクセス設定をユーザー自らが行うための利用ルールを定め、周知するところから始めることを推奨する。このようなサービスは、外部との積極的なコラボレーションを目的としているため、ユーザーのアクセス権の設定や外部ユーザーへの公開設定などをユーザー自ら設定する必要があるという点に注意が必要。
9. チャットやWeb会議ツールを使う場合、どのような点に注意すべきか
ビジネス向けに有償で提供されているツールの利用を前提に、基本のセキュリティ設定をIT部門で一元管理できるようにする。その際には、ビジネス向けツールを提供するベンダーのソリューションの中でも、セキュリティに意欲的に取り組み、既に顧客の信頼を確立しているものを第1候補として検討します。取引先の要望で先方が指定するツールを利用しなければならないケースもありますが、こういった場合は例外的な利用にとどめるべきだ。
矢野氏は「セキュリティに対する不安を抱えたままテレワークを進めると、セキュリティだけでなく利便性までも阻害することになりかねない。テレワークの推進に当たっては、セキュリティに関する混乱に一つ一つ丁寧に対応しつつ、上で解説したセキュリティの基本を着実に進めていくような強力なリーダーシップが、ITやセキュリティのリーダーには求められている」と述べている。