ガートナー ジャパンは4月24日、企業がテレワークのセキュリティを検討する際に最低限認識すべき9つの基本事項、および解決策を発表した。
ガートナーのアナリストでシニア プリンシパルの矢野薫氏は、企業がテレワークのセキュリティについて検討する上でしばしば直面する疑問点を9つにまとめ、最低限認識すべき基本事項を解説している。
これからテレワークを実施する場合、まずはテレワーク用の新たなセキュリティ・ルールを作るところから始め、デバイスやデータの取り扱いルールの見直し、従業員向けのトレーニングの実施、通達の発信、社内体制の再強化など、検討すべき事項があると認識しておくことが肝要だという。
早急に例外的な対応が必要となった場合は、情報漏洩などが発生した場合の影響を最小限に抑えられるように、例外的な対応の範囲をできるだけ小さく絞れるものから検討することを推奨している。
セキュリティが十分ではないのに「それでもとにかくテレワークを実施したい」という要望が上がってきた場合は、ITやセキュリティ部門で無理に抱え込まず、経営者やビジネス・リーダーと早急に議論し、自社では時間や予算面を含めてどの範囲なら実施可能かについて合意を形成することが必要だという。
また、会社支給のノートPCの利用をセキュアにするためには、「社内で利用しているPCと同様のセキュリティ対策」と「テレワークで必要となる固有のセキュリティ対策」を分けて整理すること、そしてその上でテレワークという新たな環境を前提としたセキュリティ対策を打ち出すことが必要とのことだ。その際には、デバイスの盗難や紛失、情報漏洩への備えや、デバイスからアクセスする際の通信の保護など、テレワークという新しい環境を鑑みた複合的な対策も検討が必要だとしている。
個人所有のPCを業務に利用することについては、会社側が管理できる仕組みを実装することで利用を許可できる可能性があるとしながらも、緊急時以外はメールの利用など部分的な範囲に絞ることが現実的だとしている。
Office365やG Suiteのようなクラウド・オフィス・サービスを、PCからの直接接続で利用したい場合に関して、ガートナーは、少なくとも「ユーザーの成り済まし」「情報漏洩」「インシデント対応」の3点に備えるための設定を施しておくことを推奨している。
ファイル共有サービスをセキュアに利用するには、ビジネス向けに有償で提供されているツールの利用を前提に、フォルダやファイルへのアクセス設定をユーザー自らが行うための利用ルールを定め、周知するところから始めることを推奨している。
チャットやWeb会議ツールを使う場合は、ビジネス向けに有償で提供されているツールの利用を前提に、基本のセキュリティ設定をIT部門で一元管理できるようにすることを推奨している。その際には、セキュリティに意欲的に取り組み、既に顧客の信頼を確立している製品を第1候補として検討し、取引先の要望で先方が指定するツールを利用しなければならないケースでは例外的な利用にとどめるべきだとしている。
矢野氏は、テレワークのセキュリティについて次のように述べている。「セキュリティに対する不安を抱えたままテレワークを進めると、セキュリティだけでなく利便性までも阻害することになりかねません。テレワークの推進に当たっては、セキュリティに関する混乱に一つ一つ丁寧に対応しつつ、上で解説したセキュリティの基本を着実に進めていくような強力なリーダーシップが、ITやセキュリティのリーダーには求められています」