テレワーク中のセキュリティルール緩和に潜むセキュリティリスク

今回の調査では、セキュリティ対策の特例や例外が増加傾向にある点や、ITベンダーの委託元となるユーザ企業において、セキュリティ対策の遅れがみられる結果となりました。

既存の社内規定・規則・手順等の緩和に関する質問では、機密情報が含まれる書類・USBメモリ等の電子記録媒体の社外持ち出しが、テレワーク実施企業のうち、19.4%の企業で特例や例外を認めていると回答しています。

また、機密情報を保存することができる会社支給PCの持ち出しについても24.5%もの企業が特例や例外を認めているという結果が出ています。

※IPA「企業・組織におけるテレワークのセキュリティ実態調査」調査報告書より抜粋
https://www.ipa.go.jp/files/000099575.pdf

コロナ禍において、社内規定や規則、手順などを整備できないまま、特例や例外を認めることは、事業継続のためにやむを得ない判断であったしれません。しかし、その状態が長期化すればするほど、セキュリティインシデントのリスクは高まります。USBメモリやPCの紛失といったヒューマンエラーは、いつでも発生する可能性があります。アフターコロナに向け新しい働き方が定着しつつある今、適切に管理する体制を改めて整備しておくことが重要です。

ALSIでは、PCやUSBメモリなどを安全に持ち出し、機密情報を守るセキュリティ対策をご提案しています。

端末やUSBメモリの万一の紛失に備える「暗号化」

ファイル自動暗号化「InterSafe FileProtection」

InterSafe FileProtectionは、ファイルを自動で暗号化するソフトです。ファイルは通常通り編集し保存するだけで暗号化されるため、特別な操作は一切不要。パスワードレスのため、社員は意識することなく暗号化を実施できます。

また、電子政府推奨のAES265bit方式の高度な暗号化が施されているため、万が一、機密情報ファイルを保管したPCやUSBメモリを紛失し、ファイルが抜き取られた場合でも、中身の情報が漏洩することはありません。

セキュリティUSBメモリ作成「InterSafe SecureDevice Ultimate」

InterSafe SecureDevice Ultimateは、汎用USBメモリをセキュリティUSBメモリに変換するソフトです。用途に応じて5つのセキュリティモードを選択でき、「社外利用禁止モード」では、エージェントプログラムが未導入のPCではセキュリティUSBメモリを一切利用できなくなります。暗号化は高強度のAES256bit方式が採用されているため、万一紛失した場合でもデータを読み解くことはできません。

エージェントプログラムを導入したPCでは、パスワードに加えて認証失敗回数の上限を設定できるため、総当たり攻撃による突破リスクは大幅に低減されます。さらに、有効期限超過後にUSBメモリ内のデータを強制消去する設定も可能。作業者任せではない、確実なデータ消去を実現します。

アフターコロナに向けて、継続的にテレワークを実施するか、出社を交えたハイブリッド型の働き方を選択するか、検討を進める企業が多くみられます。柔軟な働き方に合わせた社内規定の見直しにあたり、ぜひご紹介したセキュリティ対策をご検討ください。

外部デバイス利用やファイル書き出しをシステムで管理

InterSafe DeviceControlは、USBメモリなどの電磁的記録媒体への書き出しや持ち込みを制御するソフトです。InterSafe WorkFlowと組み合わせることで、通常は外部デバイスの利用を禁止し、ファイル書き出しが必要な場合のみ、ワークフローで許可することができます。社員が書き出したいファイルを申請し、承認者による許可を経て書き出すというプロセスをシステム上で行うため、不用意なファイルの持ち出しを防ぐことができます。持ち出したファイルのログも保管されるため、万が一ファイルが流出した際の証跡管理にも有効です。

また、InterSafe PISと連携することで、持ち出すファイルの中に個人情報が含まれていないかを自動でチェックできます。管理者の目視確認による漏れを防ぎ、個人情報の漏洩を確実に食い止めることができます。

働き方に合わせて必要なセキュリティ対策の選択を

アフターコロナに向けて、継続的にテレワークを実施するか、出社を交えたハイブリッド型の働き方を選択するか、検討を進める企業が多くみられます。柔軟な働き方に合わせた社内規定の見直しにあたり、ぜひご紹介したセキュリティ対策をご検討ください。