「当初と違う使われ方をしているならリスクの再評価を」 内閣サイバーセキュリティセンター:テレワークを継続利用するために
内閣サイバーセキュリティセンターは、新型コロナウイルス感染症に対する緊急事態措置の終了後にも、テレワークや遠隔会議システムを継続的に活用するに当たって、セキュリティ上留意すべき点を公表した。
内閣サイバーセキュリティセンター(NISC)は2020年6月11日、新型コロナウイルス感染症(COVID-19)に対する緊急事態措置の終了後も、テレワークや遠隔会議システムを継続的に活用するためにセキュリティ上留意すべき点を公表した。政府機関や重要インフラ所管省庁に向けたものだが、一般の企業にも参考になる。
5つの留意事項
今回公表された留意事項は、大きく分けて5つの項目からなる。
- 情報セキュリティリスクの再評価
- 情報セキュリティ関連規定の確認と改定
- 利用端末の確認
- 遠隔会議システムの利用状況の確認
- 情報セキュリティ対策推進体制の関与
このうち、「情報セキュリティリスクの再評価」「情報セキュリティ関連規定の確認と改定」「利用端末の確認」については一般の企業にも参考になる。
情報セキュリティリスクの再評価
NISCは「テレワークを運用している間に当初計画していたものと利用の仕方(利用状況)が変わったものがあれば、改めてリスクを評価することが重要だ」としている。例えば、取扱業務量や利用者が増えたり、利用対象者や対象業務の範囲が拡大したりしたなどだ。リスクを再評価して、リスクが高いと判断したときには、対象業務の見直しや追加的な対策を実施するよう指摘している。
情報セキュリティ関連規定の確認と改定
リスク評価を踏まえて追加的な対策を決めた場合は、そのことを情報セキュリティ関連規定に追記するよう指摘する。NISCは「緊急的に例外措置を採用した場合でも、その措置の有効性が確認できれば、必要なセキュリティを施した上で『通常の運用形態』と位置付けるべきだ」としている。
利用端末の確認
PCなど業務端末については、社外への持ち出し管理やOSのアップデートといった脆弱(ぜいじゃく)性対策、外部からサイバー攻撃を受けた形跡がないことを確認するよう指摘している。会社の支給外の端末を利用している場合は、こうした点を確認することに加えて、機密情報を取り扱った場合は不要になったらすぐにデータを消去するなど、情報漏えい対策を図る。さらに通信回線についても、セキュリティを確保することが重要だとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
テレワーク/リモートネットワークアクセスから始めるゼロトラスト技術の導入
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、テレワークで露呈したVPNの限界と、解決策となるゼロトラスト技術の導入について。
紙文化の撤廃、勤怠管理の見直し――テレワーク導入で検討すべき点をガートナーが解説
ガートナー ジャパンは緊急にテレワークの導入に迫られている企業が検討すべき論点を、5W1Hを用いて解説した。緊急的な導入のための対策だけでなく、テレワークの恒久的な導入に移行するポイントも盛り込まれている。
IPAとNTT東日本、ユーザー登録不要で利用できるテレワークシステムを無料提供
IPAとNTT東日本は、テレワークシステム「シン・テレワークシステム」の無料提供を開始した。契約やユーザー登録は不要で、自宅のPCから会社のPCに接続して遠隔操作できるという。