ガートナー ジャパンは、企業がテレワークの際のセキュリティ対策を検討する際に最低限認識すべきとする9つの基本事項とその解決策について、質疑応答形式で紹介している。同社では緊急ないし既にテレワークを導入する企業でもテレワークとセキュリティを見直す必要に迫られていると指摘する。
疑問1.これからテレワークを実施する場合、セキュリティについて何から始めればよいか。
まずテレワーク用の新たなセキュリティルールを作る。特にデバイスやデータの取り扱いルールについての見直し、従業員向けのトレーニングの実施、通達の発信、インシデントに対応する社内体制の再強化など、併せて検討すべき事項があると認識しておくことも肝要となる。
疑問2.早急に例外的な対応が必要となった場合、どうすればよいか。
例外的な対応範囲をできるだけ小さく絞れるものから検討する。また、例外的な対応が全てのケースに適用できるわけではなく、恒久的な対応として継続できるわけでもない点に関して、事前に従業員の理解を得ておくことが重要になる。
疑問3.セキュリティが十分ではないのに、「それでもとにかくテレワークを実施したい」という要望が上がってきた場合、どうすればよいか。
ITやセキュリティ部門で無理に抱え込まず、経営者やビジネスリーダーと早急に議論し、自社では時間や予算面を含めてどの範囲なら実施可能かについて合意を形成することが必要。このような議論はもはやセキュリティの範囲にとどまらず、ビジネスリスクに関わるものでもある。経営上層部との議論をいかにリードしていくかに時間と労力を割くべき。
疑問4.会社支給のノートPCの利用をセキュアにするには、どうすればよいか。
社内で利用しているPCと同様のセキュリティ対策と、テレワークで必要となる固有のセキュリティ対策を分けて整理する。その上でテレワーク環境を前提としたセキュリティ対策を打ち出す。その際には、社内で利用しているPCと同じセキュリティ対策を適用する(例えば外部記憶媒体の制御、マルウェア対策、セキュリティパッチの更新、操作ログの取得)以外にも、デバイスの盗難や紛失、情報漏えいへの備えや、デバイスからアクセスする際の通信の保護など複合的な対策を検討することが必要。
疑問5.個人所有のPCを業務に利用してもよいか。
広く推奨できるものではない。どうしても利用する必要がある場合には、デバイスにデータが保存されないような仕組みと併せて行うなど、限定的なケースでの例外的な対応とするのが現実的である。
疑問6.個人所有のスマートフォンを業務に利用してもよいか。
会社側が管理できる仕組みを実装すれば、利用を許可できる可能性がある。ただし、緊急時以外は、メールの利用など部分的な範囲に絞った実施でスタートするのが現実的。デバイス管理ツールとしては、会社支給のスマートフォンと同様に、ユニファイドエンドポイント管理やエンタープライズモビリティー管理のようなツールを用いることが考えられる。
