「IT部門で無理に抱え込まずに経営陣と議論を」 ガートナーがテレワークで認識すべきセキュリティを解説：セキュリティに不安を抱えたままでは利便性を阻害する

ガートナーは、企業がテレワークのセキュリティについて検討する上で直面する疑問点をまとめた。セキュリティのルール作りや、個人所有のPCやスマートフォンを利用する際などの指針を解説した。

[＠IT]

　ガートナー ジャパンは2020年4月24日、企業がテレワークのセキュリティを検討する際に、最低限認識すべき基本事項と解決策を発表した。

　政府は、新型コロナウイルス感染症の拡大防止対策として、テレワークの実施を推奨している。それを受けて多くの企業が、テレワーク環境を整備する必要に迫られている。

　ただ、これまでテレワークを検討してこなかった企業は、そもそもテレワークのセキュリティについて何から始めればよいかが分からないかもしれない。既にテレワークを実施している企業であっても、今回のような長期間にわたる全社規模でのテレワークの実施は想定しておらず、改めてテレワークのセキュリティを見直す必要に迫られている場合がある。

　こうした企業に向けてガートナーは、テレワークのセキュリティについて検討する上でしばしば直面する疑問点をまとめた。

ガートナーのWebページから引用

IT部門で無理に抱え込まずに経営陣と議論

　ガートナーは、まずはテレワーク用のセキュリティルールを新たに作ることを勧めている。従来のルールを適用しようとしても、これまでの環境とは前提条件が異なり、不整合が起こることがあるからだ。特に機器やデータの取り扱いルールについて見直すだけでなく「従業員向けのトレーニングの実施や、インシデントに対応する社内体制の再強化なども検討すべきだ」としている。

　セキュリティが十分ではないのに「それでも、とにかくテレワークを実施したい」という要望が出たときには、IT部門で無理に抱え込まずに、経営陣と早急に議論することが必要だ。セキュリティの範囲にとどまらず、ビジネスリスクに関わるからだ。その上で、実施可能な範囲について合意を形成する。

　一方、会社が支給しているPCをテレワークで利用する際に、セキュリティはどうすればよいだろうか。ガートナーは、「社内で利用しているPCと同様のセキュリティ対策」と「テレワーク固有のセキュリティ対策」に分けた上で、テレワーク環境を前提としたセキュリティ対策を打ち出すことが必要だとしている。社内で利用する際のセキュリティ対策に加えて、盗難や紛失、情報漏えいへの備えや、通信の保護など、複合的な対策が必要だ。

　個人所有のPCやスマートフォンを業務に利用することにはどのように対応すべきだろうか。ガートナーは「PCについては企業で求められるセキュリティ機能を個人所有のPCに実装することが難しいとしており、推奨しない。これに対してスマートフォンならば、会社側が管理できる仕組みを実装すれば利用を許可できる可能性がある」としている。ただし、メールなどに使用範囲を絞るのが現実的だという。

ビジネス利用するクラウドサービスには2段階認証やダウンロード禁止などの対策

　最後に「Microsoft 365」（2020年4月21日に「Office 365」から名称変更）や「G Suite」といったビジネスで利用しているクラウドサービスについては、セキュリティを適切に設定することが必要だ。少なくとも「ユーザーのなりすまし」「情報漏えい」「インシデント対応」の3点に備えるための設定として、2段階認証や、コピーやダウンロードの禁止といったファイルへのアクセス権限を制限するなどの対策を推奨している。

　ガートナーのアナリストでシニア プリンシパルの矢野薫氏は、「セキュリティに対する不安を抱えたままテレワークを進めると、利便性までも阻害することになりかねない。テレワークの推進に当たってITやセキュリティのリーダーには、セキュリティに関する混乱に一つ一つ丁寧に対応しつつ、セキュリティの基本を着実に進めていくような強力なリーダーシップが求められている」と述べている。