特集/連載
クラウドセキュリティ向上は“歯磨きイヤイヤ”の克服がヒント?:できているか「セキュリティ衛生管理」【後編】
テレワーク導入とともにクラウドサービスの利用が増えると、企業にとってセキュリティの「衛生管理」の重要性が増す。問題は従業員にその重要性をどう納得させるかだ。
個人が手を洗ったり、歯を磨いたりして健康維持を目指すのと同じで、企業にとってセキュリティの「衛生管理」の徹底は重要だ。具体的にどうすればいいのか。一般的なセキュリティ対策をまとめた前編「ウイルス感染に効く『セキュリティ衛生管理』のチェックリスト」に続き、後編となる本稿はクラウドサービス利用時の注意点を取り上げる。
クラウドサービスには特別な注意が必要 安全利用のためのこつは?
新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)によってテレワークが普及し、その一環としてクラウドサービスの利用も広がった。クラウドサービスは接続のしやすさや拡張性といった点で優れているが、セキュリティに関してはさまざまなリスクをもたらす。
クラウドサービスを利用する際、企業はセキュリティ衛生管理をどう実施すればいいのか。幾つかのヒントを紹介する。
- クラウドサービス利用時のセキュリティポリシーを策定し、「許可すること」「許可しないこと」を明確にする。例えば、オンラインストレージ「Microsoft OneDrive」を使ってドキュメントを共有するとしよう。もし、個人でMicrosoft OneDrive以外のオンラインストレージを使っている従業員がいて、それを仕事でも使いたいと希望する場合、企業はどうすればいいのか。企業は常にセキュリティを重視する姿勢を従業員に示した方がよい。仮にオンラインストレージの利用を許可するのであれば、従業員に安全な利用方法を学ぶトレーニングを受けさせる必要がある
- ドキュメントや共有フォルダへのアクセス権を同僚や社外の人に付与する場合は、十分に注意する
- プロジェクトの終了や退職で従業員が仕事を離れた場合はアクセス権を無効にし、削除する
- アカウントの使い回しに気を付ける。例えばオンラインストレージの「Google Drive」を使う場合、従業員には必ず「仕事用のGoogle Driveのアカウント」を使ってもらうようにしなければならない。従業員がプライベートの写真を共有するために仕事用アカウントを使っていないかどうかの確認も必要だ
- プライバシーと個人情報を守るための規制やルールを尊重する。これは企業にとって、最優先事項になる。欧州連合(EU)の「GDPR」(General Data Protection Regulation:一般データ保護規則)」や、「CCPA」(California Consumer Privacy Act:カリフォルニア州消費者保護法)に代表されるように、近年はプライバシーに関する法律が施行している。これを受けて企業は、SaaS(Software as a Service)の使用が終わったらデジタル証跡を削除したり、SaaSによって収集されたデータを定期的に確認したりしなければならない。
セキュリティ衛生管理は手洗いや歯磨きと同じように、最初は面倒と感じられ従業員が嫌がる可能性がある。そのため、ゲーム感覚で楽しめる研修を実施したり、セキュリティの“優等生”にインセンティブを支払ったり、さまざまな工夫を凝らしてセキュリティ衛生管理の習慣を従業員に身に付けさせるためのサポートが重要だ。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.