セキュリティ会社がリモートワークのセキュリティで気をつけていること~Pマーク監査内容の見直し検討、アララ | ScanNetSecurity
2020.07.02(木)

セキュリティ会社がリモートワークのセキュリティで気をつけていること~Pマーク監査内容の見直し検討、アララ

本稿では、情報セキュリティの製品・サービスを開発するセキュリティ企業やIT企業、システムインテグレータに取材し、セキュリティ会社のリモートワークの事例を紹介。

製品・サービス・業界動向 業界動向
セキュリティ会社がリモートワークのセキュリティで気をつけていること
セキュリティ会社がリモートワークのセキュリティで気をつけていること 全 1 枚 拡大写真
 5月25日、新型コロナウイルスのパンデミック拡大抑制のために全国に出されていた緊急事態宣言が解除された。しかし今後も流行の第2波、第3波が懸念されるなか、これまで通りのワークスタイルが元通りに復活することは望むべくもない状況だ。米Twitter社のように早々と社員のリモートワークを無期限化する動きすら現れている。

 緊急事態宣言発令で、全国各地で拙速に行われたリモートワークだが、最も懸念されるポイントのひとつであるセキュリティに関しては、総務省からすでに「テレワークセキュリティガイドライン 第4版(2018年)」が刊行されていたが、4月14日には新たに内閣サイバーセキュリティセンター( NISC )が「テレワークを実施する際にセキュリティ上留意すべき点について」を発表するなど、リモートワークのセキュリティ対策のベストプラクティス探しが始まっている。

 本稿では、情報セキュリティの製品・サービスを開発するセキュリティ企業やIT企業、システムインテグレータに取材し、セキュリティ会社のリモートワークの事例を紹介。リモートワークのセキュリティのベストプラクティス探しの一助となることを目的としている。果たして彼らは、どんなリモートワークを実践しているのか。どんなセキュリティの配慮をしているのか。

(本取材はすべてリモートで行いました)

--
 アララ株式会社は、電子マネー/CRM事業やメッセージングサービスを行う一方で、PCやサーバに点在する個人情報検出に特化したソリューション「 P-Pointer 」を2004年から提供。ニッチプロダクトながら市場需要に沿ったバージョンアップを重ね、丁寧にサービスを育て続け、2019年にサービス提供開始15周年を迎えた。

●ゴール設定

 アララはリモートワークのゴールを「在宅でもオフィスと同様のパフォーマンスで仕事ができる」と設定して実施した。

●期間

 アララがリモートワークを開始したのは、3月2日から。技術本部と企画担当者を対象に在宅勤務を開始し、その後3月27日から全社員原則在宅勤務とした。開始までにVPNへのアクセス権限の設定、Wi-Fiルータを使った自宅からのアクセス環境の整備等が行われた。

●対象

 リモートワークの対象となったのは、社員、アルバイト、派遣社員、業務委託を含む全75名。

●気をつけたこと

・情報管理
 情報へのアクセスという面においては、ID / PWが必要なクラウド環境にある情報、VPNが必須となる特定サーバにおかれた情報などへのアクセスが想定された。自宅で契約するインターネット回線の場合、ファイアーウオール等の設定次第ではVPNへの接続が不可となることもある。そのため、確実にVPN接続ができるよう、在宅勤務になることを事前に想定し、Wi-Fiルータの調達先の調査を行い、ほぼ全社員分のWi-Fiルーターの調達をタイムリーにおこなった。

 また、普段から個人情報等は特定の場所に保管するルールをとっているものの、在宅ワークに入る前に、個人PCにそのような情報がないかを確認した。さらに、Pマーク上の監査を毎月実施しており、出勤時にデスクの施錠確認などを行った。その他、個人情報の有無にかかわらず、書類をコンビニで印刷しないように注意喚起や、個人のプリンターで印刷したものは会社に持参して破棄するようなルールを定めて運用を行っているという。

・WEBミーティング
 WEBミーティングツールのルールを作成し、ZOOMについては脆弱性のリスクから利用を基本的に中止していた。5月末にセキュリティ対策が施されたことで、徐々に利用できるように変更をしている。

●学んだこと

 PCやサーバ内に個人情報を含むデータが存在しないかをチェックする個人情報検出・管理サービスを提供する企業として、データセキュリティに関しては日頃から社員への啓蒙やルール決めを実施していたため、急な在宅勤務体制となっても比較的スムーズに対応することができた。

●今後の課題

・Pマーク
 在宅勤務になると出社を前提としたチェックではなく、在宅時の情報管理を強化する必要があるため、Pマーク監査の内容の見直しを検討している。

・業務上必要なPCなどの機器の所有と重要情報へのアクセスについて
 漏えいリスクの低減という観点からも、各社員、派遣社員、業務委託スタッフ等へPCを個別に割り当て、その管理状況を確認することに将来限界が生じると考えており、新たな管理手法の構築が必要と感じている。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

    サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

  2. 「不正なデバイスの検知でau IDをロックした」au騙る偽メール(フィッシング対策協議会)

    「不正なデバイスの検知でau IDをロックした」au騙る偽メール(フィッシング対策協議会)

  3. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  4. 自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)

    自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. 不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

    不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

  7. ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ  (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

    ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

  8. テレワーク実施実態調査:都道府県別・業界別・職種別

    テレワーク実施実態調査:都道府県別・業界別・職種別

  9. LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

    LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

  10. クラウド侵害の半数近くがホストアプリを経由(日本IBM)

    クラウド侵害の半数近くがホストアプリを経由(日本IBM)

ランキングをもっと見る