セキュリティ会社がリモートワークのセキュリティで気をつけていること～Pマーク監査内容の見直し検討、アララ

　5月25日、新型コロナウイルスのパンデミック拡大抑制のために全国に出されていた緊急事態宣言が解除された。しかし今後も流行の第2波、第3波が懸念されるなか、これまで通りのワークスタイルが元通りに復活することは望むべくもない状況だ。米Twitter社のように早々と社員のリモートワークを無期限化する動きすら現れている。

　緊急事態宣言発令で、全国各地で拙速に行われたリモートワークだが、最も懸念されるポイントのひとつであるセキュリティに関しては、総務省からすでに「テレワークセキュリティガイドライン第４版（2018年）」が刊行されていたが、4月14日には新たに内閣サイバーセキュリティセンター（ NISC ）が「テレワークを実施する際にセキュリティ上留意すべき点について」を発表するなど、リモートワークのセキュリティ対策のベストプラクティス探しが始まっている。

　本稿では、情報セキュリティの製品・サービスを開発するセキュリティ企業やIT企業、システムインテグレータに取材し、セキュリティ会社のリモートワークの事例を紹介。リモートワークのセキュリティのベストプラクティス探しの一助となることを目的としている。果たして彼らは、どんなリモートワークを実践しているのか。どんなセキュリティの配慮をしているのか。

（本取材はすべてリモートで行いました）

--
　アララ株式会社は、電子マネー/CRM事業やメッセージングサービスを行う一方で、PCやサーバに点在する個人情報検出に特化したソリューション「 P-Pointer 」を2004年から提供。ニッチプロダクトながら市場需要に沿ったバージョンアップを重ね、丁寧にサービスを育て続け、2019年にサービス提供開始15周年を迎えた。

●ゴール設定

　アララはリモートワークのゴールを「在宅でもオフィスと同様のパフォーマンスで仕事ができる」と設定して実施した。

●期間

　アララがリモートワークを開始したのは、3月2日から。技術本部と企画担当者を対象に在宅勤務を開始し、その後3月27日から全社員原則在宅勤務とした。開始までにVPNへのアクセス権限の設定、Wi-Fiルータを使った自宅からのアクセス環境の整備等が行われた。

●対象

　リモートワークの対象となったのは、社員、アルバイト、派遣社員、業務委託を含む全75名。

●気をつけたこと

・情報管理
　情報へのアクセスという面においては、ID / PWが必要なクラウド環境にある情報、VPNが必須となる特定サーバにおかれた情報などへのアクセスが想定された。自宅で契約するインターネット回線の場合、ファイアーウオール等の設定次第ではVPNへの接続が不可となることもある。そのため、確実にVPN接続ができるよう、在宅勤務になることを事前に想定し、Wi-Fiルータの調達先の調査を行い、ほぼ全社員分のWi-Fiルーターの調達をタイムリーにおこなった。

　また、普段から個人情報等は特定の場所に保管するルールをとっているものの、在宅ワークに入る前に、個人PCにそのような情報がないかを確認した。さらに、Pマーク上の監査を毎月実施しており、出勤時にデスクの施錠確認などを行った。その他、個人情報の有無にかかわらず、書類をコンビニで印刷しないように注意喚起や、個人のプリンターで印刷したものは会社に持参して破棄するようなルールを定めて運用を行っているという。

・WEBミーティング
　WEBミーティングツールのルールを作成し、ZOOMについては脆弱性のリスクから利用を基本的に中止していた。5月末にセキュリティ対策が施されたことで、徐々に利用できるように変更をしている。

●学んだこと

　PCやサーバ内に個人情報を含むデータが存在しないかをチェックする個人情報検出・管理サービスを提供する企業として、データセキュリティに関しては日頃から社員への啓蒙やルール決めを実施していたため、急な在宅勤務体制となっても比較的スムーズに対応することができた。

●今後の課題

・Pマーク
　在宅勤務になると出社を前提としたチェックではなく、在宅時の情報管理を強化する必要があるため、Pマーク監査の内容の見直しを検討している。

・業務上必要なPCなどの機器の所有と重要情報へのアクセスについて
　漏えいリスクの低減という観点からも、各社員、派遣社員、業務委託スタッフ等へPCを個別に割り当て、その管理状況を確認することに将来限界が生じると考えており、新たな管理手法の構築が必要と感じている。