テレワークを実施する場合、全対象者が気をつけなければならないのは業務を実施する場所である
- | 書類等を持ち出す場合では、万が一の紛失を考慮し、原本の複製を会社内の安全な環境で保管しておくことが必要 |
- | 電子データの場合は、容易に複製ができる性質ではあるが、同様に端末の紛失、あるいは、ランサムウェアをはじめとするマルウェア感染によりデータが失われる恐れがあることを考慮すべきである |
- | したがって、可能な限り日次レベルでの作業データの保管が必要となる |
- | これらの共有手段は様々あるが、いずれの方法であっても会社に承認された方法で実施することが重要 |
テレワークでは、各種資料を持ち出すことが必要になることが多い
- | 書類等を持ち出す場合では、万が一の紛失を考慮し、原本の複製を会社内の安全な環境で保管しておくことが必要 |
- | 電子データの場合は、容易に複製ができる性質ではあるが、同様に端末の紛失、あるいは、ランサムウェアをはじめとするマルウェア感染によりデータが失われる恐れがあることを考慮すべきである |
- | したがって、可能な限り日次レベルでの作業データの保管が必要となる |
- | これらの共有手段は様々あるが、いずれの方法であっても会社に承認された方法で実施することが重要 |
システムメンテナンス等の用途がない非技術系の一般従業員に対して社内環境へVPN接続を許容する場合
- | 限定されたサービスのみ許容することが不可欠 |
- | その場合は、必ず強固な暗号化通信を用いる |
テレワークで持ち出す端末、書類、データは、必ず事前に台帳へ記載し明確にしておくこと
- | 端末、書類、データ等を持ち出す場合は台帳へ記載し、どの端末、書類、データが持ち出されているのかを把握しておくことが重要となる |
- | 機密情報の持ち出しが必要となる場合は、VDIや仮想デスクトップといった方式を活用することが推奨される |
- | それが困難な場合は、取り扱う従業員を限りなく最小限に限定し、取り扱い記録を残すことが必要 |
テレワークで業務を実施する場合、コミュニケーション手段を定めておくことが肝要
- | メール、チャットについては、クラウドサービスを活用することが多いと考えられるが、その中で許容する情報の重要度、種類を適切に定めることを実施いただきたい |
- | 個人活用しているSNS等の情報発信媒体は、極力利用すべきではない |
- | もし利用せざるをえない場合は、やりとりする情報において会社名やその内容が匿名化できるように考慮することが最低限度必要といえる |
テレワークで使用するオンラインコミュニケーションツールが提供するファイル共有、ファイルダウンロード機能に関するルールを定めておくことが必要
- | 情報漏えいリスクを低減するために、会社がモニタリング可能な手段(メール、チャット等)以外でのファイル共有は原則として使用しないことを推奨する |
- | 特にテレビ会議システムでは、ファイルの受け渡しは原則として禁止することが必要 |
- | 顧客等からの要請などにより、会社で公式に認められているオンラインサービス以外のサービスを使用せざるを得ない時も、情報漏えいリスクを念頭にお客様と情報の受け渡しについてあらかじめ合意を得ておくことを推奨する |
テレワークでは、特にフィッシングメール、マルウェア添付メールといった不審メールへの注意をより厳重にすることが求められる
- | 先に挙げたとおり、テレワークでは、特有のコミュニケーション手段を利用することになる。例えば、テレビ会議の招待、ファイル共有のためのURLの共有あるいは、業務の指示といったやりとりをメールで実施することが考えられる |
- | これらは、攻撃者にとっても容易に想定できるものであり、上記に挙げたような事項を悪用した不審メールが増加することが予想される |
- | したがって、通常の業務以上にメールの差出人やアドレスの確認とマルウェアスキャンを実施することに加え、他のコミュニケーション手段と併用した事実の確認を密に実施することが必要となる |
- | 特に、直接金銭が関連するような重要な情報交換は、ビジネスメール詐欺にも狙われることから、複数の伝達手段で確認を行うことは不可欠といえる |
テレワーク時に端末上に不審な形跡を発見した、不審メールを受信した、または媒体の紛失といった事態が生じたときは、速やかに報告することが重要
- | 予め、テレワーク時における緊急連絡先を定めておくことが必要である |
- | すでにCSIRT等の対応態勢を整備している場合であっても、テレワーク時の対応を明確にしておくことが求められる |
- | また、緊急事態が発生することを想定し、実際に召集される対策チームのメンバーにおいては、駆けつけ可能な環境に待機するといったことも考慮していただきたい |
- | 併せて、有事に相談可能な専門ベンダーとの窓口を確保しておくことも推奨する |
ここまで述べてきた考慮事項を踏まえ、従業員に対してテレワーク時における情報セキュリティに関する教育を実施することを推奨する
- | テレワーク時に使用するツールの操作に習熟していない従業員が、誤って情報を漏えいするリスクが懸念される |
- | テレワークで使用する端末、スマートフォン、携帯端末は、紛失することがないよう厳重に管理することが不可欠 |
- | ツールについては、わかりやすいマニュアルや利用ガイドを作成することを推奨 |
- | また、テレワークで特に注意すべき情報セキュリティ上の留意事項についても、あらためて文書で広く注意喚起することを推奨 |
- | できればテレワーク開始前にeラーニング等を行うことを推奨 |
- | 確認テストで基準を満たした社員にテレワークの資格を与えるといった手段も有効 |
新しいビジネス様式に求められるテレワーク環境のセキュリティリスク把握に効果を発揮します。
業界ベンチマーク+第三者視点のチェックで課題解決を加速します。
企業や企業の情報資産をサイバー攻撃から守るには社員一人一人の適切な対応が重要です