ニーズや環境に合わせたセキュリティ対策の選択

今回、改訂ポイントとして下記のような点が挙げられている。

①テレワーク方式を再整理し、適した方式を選定するフローチャートや特性比較を掲載
②テレワークセキュリティに関連するトラブルについて、具体的事例を含め全面見直し
③セキュリティ専任担当がいない中小企業向けのチェックリストの策定

特に１つ目のフローチャートは、各企業が実施する業務を基に適した方式を導き出せるため、各方式についてよくわからない場合でもスムーズに検討・選定ができるようになった。

さらに、各方式におけるメリットやデメリットが記載されているため、実施すべきセキュリティ対策を迷わずにピックアップできる。

また、セキュリティ担当者がいない中小企業へ向けたチェックリストも策定された。必要最低限の対策を確認することができるので、どう対策したらよいかわからず二の足を踏んでいた企業もテレワークを導入しやすくなったのではないだろうか。

VPN方式のポイント

ここで、先に紹介したフローチャートの中からVPN方式について紹介したい。テレワーク端末から社内ネットワークにVPN接続を行い、ファイルサーバーやクラウドサービス等に接続し業務を行う方式だ。ガイドラインでは下記の通りメリットとデメリットが記載されている。

メリット
・オフィス内と同等の業務が可能
・オフィス内と同等のセキュリティレベルの確保が可能
・通信回線の影響を受けるがテレワーク端末上での作業で回避可能

デメリット
・テレワーク端末のデータ管理とセキュリティ統制が必要

注目してほしいのはデメリットの部分だ。テレワーク端末でデータの処理を行うため、紛失や盗難、内部不正による情報漏洩のリスクがある。ヒューマンエラーや不正利用に対し、社員へのセキュリティ教育だけでリスクを防ぐことは難しい。テレワーク端末のデータを適切に管理するために有効な手段が「ファイル暗号化」と「デバイス制御」だ。

「ファイル暗号化」と「デバイス制御」による持出し端末のセキュリティ対策

社員に依存せず、万が一のファイル流出時に備えた有効な対策が「ファイル暗号化」だ。ファイル単位で暗号化することで、流出した場合も外部では中身の情報を見ることができず、情報漏洩を防ぐことができる。

ALSIの「InterSafe FileProtection」は、ファイル保存時に自動的に暗号化。メールでの誤送信やアップロードファイルの取り違えなどにより流出が起きた場合でも、ファイルの中身は高度な暗号化が施されているため、第三者に情報を読まれる心配はない。社員は通常通りの操作で閲覧、編集ができ、拡張子も変わらないため、業務効率を下げることなく安全性を担保する。

また、社員によるUSBメモリの不正利用に有効な対策は「デバイス制御」だ。利用できる外部デバイスを制限し、私物USBメモリの利用を防ぐことができる。

ALSIの「InterSafe DeviceControl」は、USBメモリやプリンタ、スマートフォンなどのあらゆるデバイス接続を制御。さらに、「InterSafe WorkFlow」と連携することで、業務上必要な時だけ、申請承認ワークフローで利用許可が可能だ。また、書出しのログや原本も保管されるため、万が一の流出時も証跡管理も行える。