03 3405 1550
Welcome to the METALOG

セキュリティ面の整備

出社時の業務では発生し得なかったセキュリティのリスクや、”テレワークだから”狙われるようなリスクもありますので、事前の整備が必要です。

 

情報セキュリティポリシーの策定

リモートワークの導入に際しては、情報の取り扱いに関する方針や行動指針をまとめた「情報セキュリティポリシー」の策定が必要です。

 

また、情報セキュリティポリシーは企業や組織の持つ情報や組織の規模、体制に即したものであることが重要で、業務形態、ネットワークやシステムの構成、保有する情報資産等を踏まえた上で、策定します。

<情報セキュリティポリシー策定のメリット>

・情報漏洩などのリスクの低減

・企業の情報資産を守る

・情報取扱いに関するに従業員の意識の向上

・顧客、取引先からの信頼向上

 

<策定の手順>

① 責任者、担当者の選出

②目的、情報資産の対象範囲、期間、役割分担等の決定

③策定スケジュールの決定

④ 基本方針の策定

⑤情報資産の洗い出し、リスクとその対策の分析

⑥対策基準と実施内容の策定

 

<策定に関する注意事項>

・守るべき情報資産を明確にする

・機密情報を扱う対象者の範囲を明確にする

・できる限り具体的に記述する

・社内の状況を踏まえて、実現可能な内容にする

・運用や維持体制を考慮しながら策定する

・形骸化を避けるために、違反時の罰則を明記する

・定期的な社員の教育が必要である旨明記する

・定期的に情報セキュリティポリシー内容を見直し、必要に応じて改訂を行う

 

セキュリティソフト・ネットワーク環境による対策

セキュリティソフトの確認と導入

一般にセキュリティソフトと呼ばれているものはアンチウィルスソフトウェアのことです。

インターネット上で拡散しているウィルスが端末に入ってこないように事前に検知(ファイアウォール)したり、使用している端末内にウィルスが入っていないかを調べたり(ウィルススキャン)、隔離・駆除などが行われています。

未導入の場合はリモートワークにかかわらず、無料のソフトウェアもありますので、必ずインストールするようにしましょう。導入済みの企業でも、改めて機能性や料金について見直すことをおすすめします。

 

ネットワーク環境

現在導入しているネットワーク環境にセキュリティリスクがないか(秘匿性の高い情報をどこからでも入手できるようになっていないかなど)を確認する必要があります。

(別途「ハード・インフラ面の整備」にて類似情報を記載していますので、こちらをご覧ください。)

人的なセキュリティリスクへの注意喚起

セキュリティ対策と考えるとシステム上の話だけだと考えるかたも多いでしょう。しかし、実際のところ人的な要因で防ぐことができるリスクが多くあります。

そのため従業員向けに実施すべき案内をいくつか紹介します。

 

また、これらに関しては、ついつい忘れがちになってしまうため、定期的に全社に向けたアンケートやeラーニングを配信することをおすすめします。

 

作業場所・業務用機器書類の保管場所

カフェやレンタルオフィス等を使用される場合

「のぞき見」されることが実はリスクです。そのため、

  • 知らない人と近距離で作業を行わない
  • (できれば)席の後ろは壁になっているスペースで作業する
  • のぞき見防止などの保護シートを活用する

といった工夫が必要です。

 

また、盗難にも注意が必要です。業務用の端末はもちろん、業務用の書類やメモ書き等が流出することで、個人の所有物以上に損害が発生する可能性があります。そのため、従業員や管理人が常時見える範囲で作業することがおすすめです。少なくとも奥まっているかつ、人の動線(お手洗いまでのルートなど)になっていないる席を選ぶことは危険です。もし可能であれば、管理人や従業員とコミュニケーションをとっておくと、個人を認識してもらえますので、注意してもらいやすくなります。

 

更に、電話応対をする際にも注意が必要です。カフェ等では思ったよりも電話やテレビ会議の声は周囲に響きます。できる限り人から離れたり、少なくとも場所を移動しながら話すことで会話の全容を同じ人達に聞かれないようにしましょう。

 

自宅を使用される場合

自宅では、私生活・私物と混同して業務を行ってしまいがちのため、例えば、外部企業とのテレビ会議の際に社外秘書類の内容を子供が読み上げてしまったり、作業スペースが確保されていないことで自分や家族の人が飲み物を業務用機器や書類にこぼしてしまったり、といったことが発生しがちです。

そのため、業務用機器や書類の作業・保管場所は明確に分けておくことが必要です。

 

最新ソフトウェアへのアップロード

悪質なハッカー達は日々新しい手法でシステムやソフトウェアにアタックする方法を変えて行きます。それに伴い、システムやソフトウェアの事業者も日々セキュリティ対策を行っています。一昔前は、ソフトウェアの買い替えによってバージョンがアップデートされていましたが、近日はインターネットを通じて日々アップデートが行われています。初回インストール時に自動的にアップデートが設定される仕様が多くなってきましたが、それでも使用者に許諾を求めるものや、手動で行うもの、自動アップデートがなにかの理由で動作しないケースもありますので、従業員皆さんに認識してもらうことが重要です。

アップデートやソフトウェアのスキャンによって機器のパフォーマンスが落ちたり、一定時間作業ができなくなる場合もあります。この時、ルーチンワークのように無意識に中止してしまうような人もいますので注意しましょう。

 

リスクの高いインターネット接続は行わない

公共のインターネットは、同じネットワーク化で接続している人が誰だかわかりません。そのため、もしかすると悪質なハッカーがいる可能性もあります。特にパスワードを必要としないネットワークに関しては業務では使用しないように案内することをおすすめします。

また、自宅のインターネット環境に関しても、wi-fi接続のパスワードを定期的に変更したり、セキュリティソフトを導入することで、極力セキュリティレベルを高めておく必要があります。

さらに、企業でセキュリティレベルの高いVPN等の専用回線を導入している場合は、業務用端末ではVPN接続を常時するように案内することもおすすめです。

 

ローカル環境にファイルを保存しない

パソコンで作業した資料は、保存するごとに共有サーバー上にアップロードします。会社のサーバーに比べ、個人のパソコンのほうがセキュリティレベルが低いケースが多いため、がアタックを受けた際、情報流出しやすいためです。

 

各種ログインID、パスワードの管理

リモートワークに関わらず、インターネットサービスやアプリで使用するパスワードは定期的に変更するようにし、容易に想定されにくいパスワードを設定するようにします。また、IDとパスワードの組み合わせは、それらを使用する端末と同じ端末には保存しないようにしたり、紙で保管したりします。