情報セキュリティマン、テレワーク導入に待った! その前に情報漏えい対策だぞ
日本では今、テレワークが広まりつつある。
『令和2年までにテレワーク導入企業を、平成24年度比で3倍にする(平成24年度は11.5%)』など、政府は働き方改革の一環でテレワークを推進。加えて、テレワーク導入企業への助成金支給や、全国一斉のテレワークを呼びかけるテレワーク・デイなどを実施している。
少子化による労働者不足、夫婦共働き家庭の増加に伴うライフスタイルの変化、インターネット環境の進化など、社会的背景からみてもテレワークの普及はさらに加速するだろう。
しかし、セキュリティ対策は、なおざりになっていないだろうか。社内の業務を社外で行なったり、データを社外へ持ち出したりすることで、情報漏えいリスクが高まるのだ。
もし、あなたのセキュリティ意識があと少し高ければ、平穏な未来が待っていたかもしれないのに。そうならないためにも……
あっ、こんなところに情報漏えいが!情報セキュリティマン参上!
<情報セキュリティマン・プロフィール>
MOTEX社員、セキュリティ系男子・大山晃輝(25歳)
1993年鹿児島生まれ。幼少期より野球一筋で過ごし、京都の大学に進学後も野球に邁進する。2016年4月、MOTEXに入社。東京本部を経て、現在大阪本社に勤務。
野球時代の特技は「送りバント」。神経を研ぎ澄ませ、走者を進塁させることに掛けたスピリッツは同社MOTEXでも存分に発揮し、世間にはびこる「情報漏えい」に目を光らせ、甘すぎるセキュリティ意識の向上に努めている。
ポリシーは「皆さまに幸あれ」。正々堂々と情報漏えい対策に挑む!
テレワーク導入の大きなメリットと、忘れられがちなデメリットとは
おーい、帰ったぞ!
出張ですか?お疲れ様です!
いやぁ、九州では良い仕事ができたわ
しばらく見かけなかったですが、長期間行かれていたんですね
ああ、そうだ。セキュリティ対策を強化したい企業や店舗が増えてきているからな。本社とはテレワークで連携を取っているから、長期不在でも問題はない
テレワーカーは最近増えていますね。都心にはどの街にもコワーキングスペースがあるし、カフェに入れば大抵誰かがノートパソコンを開いて仕事をしています
そうだな。オフィスにいなくても仕事ができるこの環境は、企業にとっても、従業員にとっても、余りあるメリットがあるからな
僕は以前より、気分を変えて集中したいときは、よくカフェへ行っています。アイデアが閃きやすいんです
まあ、それもテレワークのくくりには入るが、もっと大きなところでは、育児や介護など家庭の事情で出社し辛くなった従業員の雇用が守れる、というところだな
そうですね。社員としては、仕事を辞めずに続けられるのは大きなメリットです
あと、遠くにいる優秀な人材も雇うことができるぞ。通勤圏内で暮らしている必要性がないからな
これは面白いですね。海外にいる外国人とも一緒に仕事をすることができるようになれば、企業としても新たな前進ができそうです
また、テレワークは不測の事態にも強いぞ。例えば災害時だ
なるほど、出社できないときであっても、自宅などで業務が遂行できる訳ですね
そう、リスクヘッジにもなるんだ。地震、台風、大雨など、自然災害が起こるたびに業務が止まっていたら損失だからな。猛暑日をテレワーク・デイにしている企業もあるぞ
日頃から『いざとなればテレワーク』という体制づくりは、むしろ行っておくべきことなんですね
そういうこと。ただし、テレワークにはデメリットもあるから注意は必要だ
アレ……ですか?
そう、情報漏えいだ!社内で管理・監視ができない分、情報漏えいの危険性がグンと跳ね上がってしまう
人も、パソコンも、社外へ出て行くから仕方がないのかな……
ということで今回は、テレワークの情報漏えい対策をお届けするぞ!
はい、お願いします!
管理者向け・テレワーカー向け、それぞれの情報漏えい対策
最初に言っておくが、テレワークの情報漏えい対策は、これまで俺が伝えてきた危機管理の総決算とも言える内容になる
それだけ、情報漏えいリスクに晒されているということですね
テレワークは一見始めやすいが、何の準備もせずに解禁したら大変なことになるぞ。単にモバイルワーク、在宅ワークを認めるだけではダメなんだ
手軽に導入してはいけない、ということですね
管理者とテレワーカー、双方での準備が必要だ。まずは管理者向けにお伝えしよう
【管理者向け1】情報漏えいを防ぐ、労働環境作り
管理者が事前に行うセキュリティ対策は、大きく3つある。クラウド、端末、インターネット回線だ
はい
まずはクラウドから。データはクラウドに集約し、テレワーカーはそこにアクセスして業務を行えるようにしよう
そうですね。データ共有という利便性においても、クラウド化はほしいところです
その際、テレワーカーへの権限管理を設定しておくことが重要だ。どこまでの情報にアクセス権を与えるのか、データの書き換え許可を与えるのか。こうした権限を設定しておかないと、情報漏えい時の被害が大きくなってしまう
離席中に第三者に触られたり、ノートパソコンが盗難・紛失したりすることもあり得ますもんね
また、可能な限りブラウザや専用アプリ上で業務を行えるようにすると、盗難・紛失時のリスクをより低減させることができるぞ。データがローカル保存されないからな
なるほど。独自の業務システムや、Google、サイボウズなどのグループウェアの活用ですね
また、テレワーカーが利用するノートパソコンやタブレットを一元管理できる、クラウド型のセキュリティシステムの導入も有効だ
それこそ、MOTEXの「LanScope An」が最適じゃないですか。デバイスの活用状況を見える化し、トラブル発生時は遠隔から画面ロックやデータ消去ができる。しかもマルチOS対応
そうだな。iOS、Android、Windows、macOSに対応しているから、テレワーカーに応じた様々な端末に導入できる
スマートフォンにも機密情報は詰まっているので、マルチOS対応はありがたいですね
次に、端末のセキュリティ対策。まず、紛失・盗難に備えてパソコンのログインに生体認証の導入を検討しよう。指紋認証センサーは、後付けでも低コストで導入可能だ
生体認証は本人以外では起動できないので、なりすまし対策に有効ですね
また、強引にデータを吸い出されないようにするためにも、HDD、SSDを暗号化しておくのも大切だ
Windowsの「BitLocker」や、macOSの「FileVault」の活用ですね
それと基本的なことだが、OSやアプリケーションのセキュリティアップデートは放置しないよう、テレワーカーにアップデートを促すのを習慣化しよう
そうですね。マルウェアやハッキング被害から守るためにも、ここは後回ししてはいけないですね
次に、3つめのインターネット回線の対策。まず基本的なこととして、通信が暗号化されていないフリーWi-Fiの使用は禁止だ。スターバックスやマクドナルドなど、店側が提供しているフリーWi-Fiのほとんどは暗号化されていない。暗号化されていないWi-Fiに接続すると、通信が傍受されたり、パソコンに侵入されたりする危険性があるからな
でも、外で仕事する場合、インターネット回線は必要ですよね
その場合、会社がモバイルルーターを支給するか、VPN(バーチャルプライベートネットワーク)を導入すると良いだろう
とにかく、不特定多数が接続する暗号化されていないネットワークには接続しない、と言うことですね
あと、自宅も安心はできないぞ。在宅ワークの場合、自宅の無線LANルーターのセキュリティが弱い場合がある。まずは、無線LANルーターのファームウェアアップデートの有無を確認し、配信されていれば実行しよう。また、古い無線LANルーターを使い続けている場合は、暗号化レベルが低いことがあるので、テレワーカーが自宅で使用している機器も確認しておくと良いだろう
はい、わかりました。クラウド、端末、インターネット回線への対策ですね!
【管理者向け2】不正アクセス・情報漏えいを想定した対策準備
事前の対策によってリスクを減らすことができても、100%防げる訳ではない。そのため、情報漏えい発生時に備えて、テレワーカーにルールを定めておこう
具体的には、どんなことでしょう?
例えば『機密情報を誤って第三者にメール送信してしまった』『パソコンの挙動がおかしい』など、ミスをしてしまったときや、ウイスル感染の疑いがあるときは、速やかに担当者へ報告するというルールだ
テレワーカーは社外にいる分、なんとか自分で解決しようと問題を先送りにしてしまうかも知れないですね。それを防ぐ訳ですね
ミスは誰にでも起こりうるし、それを責める訳ではない。情報漏えいの疑いがあるときは、初動が肝心なんだ。初動を誤れば、被害が次々と拡大してしまう
企業は、初動で何をすべきですか?
まずは速やかに事実確認を行う。情報漏えいが明らかになれば、いち早く情報を開示しなければいけない。2次被害、3次被害を防ぐためだ。また、不正アクセスが認められる場合は、警察へも被害届を出そう
テレワーカーが『もしや……』と思ったら、すぐに管理者へ報告ですね
【管理者向け3】教育の場を設ける
あと、管理者・テレワーカー共にセキュリティの知識を高める習慣をつけておこう
そうですね。そもそもリテラシーが低いと、リスクに気づきにくいですもんね
リテラシー向上におすすめしたいのは、セキュリティ勉強会の定期的な開催だ
定期的ですか
そう。新しい脅威は日々現れるからな。でも、勉強会を開催する最大の目的は『自分ごと化』だ。話し合うことで、自分の身に置き換えて考えやすくなる
どんな勉強をすれば良いですか?
NO MORE 情報漏えいでは、わかりやすい教育ツールを無料で配布しているので、ぜひそれらを活用してほしい。基礎知識が身に付くぞ
電子書籍に加え、講師用資料やテスト問題など、充実していますね
基礎知識と合わせて、最近起きた情報漏えい事件や、セキュリティトレンドなども話題にあげ、情報を共有しておくと良いな
テレワーカーなので、勉強会はオンラインでも良いですよね
もちろんだ
■【管理者向け】合わせて読みたい
▶ 情報セキュリティマン、サボり社員に一喝!OS・アプリケーションのアップデートを放置した人の末路
▶ 情報セキュリティマン、フリーWi-Fiの危険性に警告!データを傍受されない、3つの対策方法
▶ 情報セキュリティマン、Wi-Fiルーターへの意識の甘さを指摘!今すぐできる3つのセキュリティ対策
▶ 情報セキュリティマン、スマートフォンの紛失リスクを徹底阻止。事前準備がデータを守るカギ!
▶ 情報セキュリティマン、新入社員の情報漏えい・炎上対策。社員教育をして、ポロリを防ごう!
【テレワーカー向け】ダダ漏れテレワーカーが街に溢れている! と認識せよ
次は、実際に社外で働く、テレワーカーに向けた対策をお伝えしよう。まず言っておきたいのは、情報がダダ漏れのテレワーカーが世に溢れているということだ。特に、カフェでノートパソコンを開いているモバイルワーカーはひどい
あ、それわかります。僕もよくカフェで仕事をしているのですが、ダダ漏れ現場には頻繁に遭遇しますね
北野は、どんなのを見かけた?
特に危険だと思うのは電話ですね。カフェで仕事をしている最中に電話が鳴り、そのまま通話を始めた場合、高確率で相手の声も漏れています。受話音量を上げていると、電話の音ってすごく漏れるんですよね
双方の声が聞こえたら、会話が丸わかりだな。俺も最近、似たようなのと遭遇したぞ。カフェでのSkypeだ。ヘッドセットをつけずにチームメンバーらしき者とミーティングを始めたんだ。会話は当然周囲に丸聞こえで、危機意識も、マナーも、何もかもがなかった
ひどいですね。企業名がバレて、その様子をSNSにアップされたら炎上ですよ。オンラインミーティングをする場合は、マナーの面から言ってもコワーキングスペースを利用する方が良いでしょうね
他には、ショルダーハックもあるな。ノートパソコンのモニターや紙の書類が、簡単に覗き見できる。いや、その気がなくても視界に入ってくる
ということは、見る気になれば、いくらでも情報が得られますね
そういうことだ。意識して情報を得ようとすると、氏名、勤務先、業務内容などは容易にわかる。メールのフッターが見えたり、ノートパソコンに企業名が入ったテプラやステッカーが貼ってあったりするからな
壁を背にして座ったり、モニターに覗き見防止シートを貼ったりなど、覗き見対策が必要ですね
とにかく、何も特別な技術を用いなくても、アナログ的な手法でいくらでも情報が得られる状況だ。会社の管理者がセキュリティ対策を講じても、通話の音漏れや、ショルダーハックまでは管理しきれない。この辺りは、テレワーカーの意識改革が必要だな
情報がダダ漏れである状況を認識して、その上で常に危機意識を持ってもらうしかないですね
そういう意味でも、先の『教育の場を設ける』というのは大事なんだ
そうですね
それでは、今回のテレワークの情報漏えい対策はこれくらいにしておこう。まだまだ言い足りないところはあるが……
今はもう、覚えきれません!
そうだな。とにかく、テレワークの導入は今後避けられない流れになるだろう。企業の発展のためにも、安全に取り入れてほしい
そうですね。今回もありがとうございました!
■【テレワーカー向け】合わせて読みたい
▶ 情報セキュリティマン参上!だだ漏れショルダーハック問題を斬る
▶ 情報セキュリティマン、酔っ払いを斬る!飲み会に行く前にやっておきたい情報漏えい対策
- おはようございまーす!
- 最近たくさん野球やってます!
- これまで以上に野球やってます!
- チーム作りました!ユニホーム作りました!
- やっぱり野球てほんまに楽しい!!!
- それをつくづく感じています!
- (めっちゃ打ちそう……足速そう……スタイルいい……カッコいい………)
- セキュリティマン兼選手兼監督。
- オールラウンダー大山です。
- 最近の悩みは、1番DH大山にして、
- チームメイトに怒られることです((((;゚Д゚))))ガクガクブルブル
- ちなみに、最近の趣味はディレードスチールです。
- セキュリティマンも奥が深いですが、野球の奥の深さにはしびれる。
- 全国の野球少年よ!
- これからもセキュリティマンをよろしく頼む!
- アディオス!