従業員がテレワークで効率的に働ける環境を実現しつつ、セキュリティを確保するためには、さまざまな取り組みが必要になる。必要な項目を網羅したチェックリストを公開する。
テレワークは働き方として広く普及しているが、セキュリティ上の懸念が生じる。例えばテレワーカーが自宅から社内リソースにアクセスする方法に注意が必要だ。従業員はBYOD(私物端末の業務利用)により、十分に保護されてない私用PCで社内ネットワークに接続する可能性がある。
企業がテレワークを認めるのであれば、ネットワークの使用や管理に関する規則を適切に定め、従業員はそれを順守しなければならない。具体的に守るべき項目を網羅したチェックリストを公開する。
テレワークでネットワーク担当者が実施および確認すべき項目は次の通りだ。
| チェックリストの項目 | 実行する操作や検討内容 |
|---|---|
| テレワークプログラムの管理 | 管理職の承認を得てテレワークのプログラムを確立し、プログラムを管理するチームを決める。管理チームは以下の項目を管理しつつ、定期的に見直す。 ・個人デバイスの使用と構成方法 ・個人デバイスの代わりに会社が用意するシステムの使用 ・機器の構成 ・ネットワークの構成 ・セキュリティ管理 ・自社リソースへのリモートアクセス ・データのバックアップとリカバリー(復旧) ・データ保護 ・ヘルプデスクのサポート ・インシデント対応 |
| リモートネットワークサービス | ・VPN ・インターネットアクセス ・社内ネットワークへのアクセス ・クラウドサービスを使ったアクセス ・IPネットワークで音声を送受信する技術「VoIP」(Voice over IP)システム経由のアクセス |
| 社内ネットワークのセキュリティ | ・エンドツーエンドの暗号化 ・フィッシング対策とマルウェア対策のソフトウェア ・侵入検知システムと侵入防止システム(IDS/IPS) ・ファイアウォール ・ネットワーク監視システム ・ネットワーク診断システム ・パッチの適用 ・ペネトレーションテスト |
| リモートネットワークのセキュリティ | ・エンドツーエンドの暗号化 ・フィッシング対策とマルウェア対策のソフトウェア ・ランサムウェアソフトウェア ・IDS/IPS ・ファイアウォール ・パッチの適用 ・ペネトレーションテスト |
| ネットワークパフォーマンス管理 | 可能であれば、ネットワークパフォーマンスの次の項目を24時間年中無休で確認する。デバイスに最新のパッチが適用されていることや、VPNを使用している場合は十分なライセンス数を確保していることを確認し、障害発生に備えて通信事業者の災害復旧計画を確認する。 ・帯域幅 ・スループット ・遅延 ・中断 ・通信事業者のサービス停止 |
| パッチ管理 | パッチが確実に適用されるよう管理プログラムを確立する。必要に応じてパッチ適用が完了していることを確認する。 |
| エンドポイントセキュリティ | 最新のフトウェアがデバイスにインストールされていることを確認する。 ・暗号化 ・マルウェア対策 ・ランサムウェア対策 ・ウイルス対策 ・ファイアウォール |
| 個人機器の使用(BYODのポリシー) | IT部門のスタッフがデバイスを調べ、自社のセキュリティポリシーに準拠するセキュリティアプリケーションがインストールされていることを確認すると同時に、テストを行ってセキュリティが正しく確保されることを確認し、ペネトレーションテストを定期的に実施してコンプライアンスを確保する |
| 社有機器の使用 | 適切なセキュリティとアクセス制御ソフトウェアとポリシーを使用してテレワークに使用するデバイスを構成し、デバイスのインストール時にテストをして制御を検証すると同時にペネトレーションテストを定期的に実行して社有デバイスが侵害されていないことを確認する。 |
| リモートアクセス制御 | 以下のセキュリティ対策が自社ポリシーに沿ってなされていることを確認する。 ・パスワード ・ロールベースのアクセス ・多要素認証 ・プロトコル |
| 暗号化 | データをエンドツーエンドで自社のポリシーに基づいて暗号化を展開し、テレワークで使用するデバイスのセキュリティ対策を有効にする |
| コラボレーションのリソース | 次のツールが正しくインストールされ、セキュリティが有効になっていることを確認する。 ・ビデオ用コラボレーションツール ・メッセージングツールやテキストツール ・メール ・ファイル共有 |
| データ保護 | セキュリティが確保される環境にデータが保存され、適切な権限を有する担当者だけがアクセスできるようにし、データ保護とデータ管理のポリシーを確立してそれに従う。 |
| データのバックアップとリカバリー | データをセキュリティが確保されているストレージにバックアップし、サイバー攻撃によりデータが盗難に遭ったり破損したりする緊急時に備え、回復できるようにする。 |
| インシデントの検知と対応 | テレワーク勤務の従業員は、システムやネットワークに問題が発生した場合やセキュリティの侵害が疑われる場合、ヘルプデスクなどのリソースに連絡できる必要がある。インシデント対応とヘルプデスクの正式なプロトコルを確立してテレワークのポリシーに盛り込む。 |
| 従業員向けのトレーニング | 技術開発などの開発に関する情報をテレワーク勤務の従業員に定期的に送信し、社有デバイスや個人所有のデバイスを使用する際に自社のリソースにアクセスする方法に関するテレワーク勤務の従業員向けのトレーニングプログラムを作成すると同時に、トレーニングで発生する問題を診断する。新入社員教育にもテレワーク向けのプログラムを取り込み、定期的またはテクノロジーが変わったときにトレーニング内容をアップデートする。 |
| 監査 | テレワークの監査は、社内外の監査人と調整してスケジュールを設定し、次のツールを使ってエビデンスを集める。 ・ペネトレーションテスト ・ネットワークログとシステムログ ・リモート監視システム 監査する制御を特定し、次の項目を調べる ・テレワーク勤務の従業員のポリシーへのコンプライアンス ・主な規格や規制に対するデータ保護のコンプライアンス ・トラブルの報告書やセキュリティ違反の報告書 |
| テスト | 社有デバイスと個人所有のデバイスをテストし、適切に動作することを確認する。ネットワーク内に追加された新しいリソースは全てテレワーク勤務の従業員にデプロイする前にテストする。 |
| インシデント対応 | テレワーク勤務の従業員がデバイス、ネットワークサービスへのアクセス、自社リソースへのアクセスに関する問題を報告した場合の対応プロセスを確立しする。ヘルプデスクや他のトラブル報告サービスと連携する。 |
| 災害復旧 | 会社の主要拠点やデータセンターでの障害に関する情報をテレワーク勤務の従業員に伝達する手順を確立する。通常業務を安全に再開できる場合に実行する手順についてのガイダンスを用意する。テレワークで働く地域で発生した問題をヘルプデスクに連絡するようテレワーク勤務の従業員に伝える。本社などの主要オフィス拠点のテクノロジー障害復旧計画と同様、テレワーク勤務の従業員が地元の障害に対処するための手順を文書にする。 |
従業員が効率的にテレワークできる環境を整備することは、企業にとって重要だ。ネットワークチームがテレワークのあらゆる側面に対処し、従業員への安全な環境の提供に取り組む上では、上記のポイントが役に立つだろう。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
WebデザインはSEOに関係する? 検索上位表示を実現するデザインのポイント
「WebデザインがSEOにどう影響するのか知りたい」「SEOに強いWebデザインにするにはどう...
「サイト内検索」&「ライブチャット」売れ筋TOP5(2024年9月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
広告からリード獲得まで「インテントデータ」関連サービスを拡張 ログリーの狙いは?
ログリーは、インテントデータプラットフォーム「LOGLY Sphere」を活用した2つのアップデ...
ITmediaはアイティメディア株式会社の登録商標です。
