新型コロナ禍になって中小企業にもテレワークの波が押し寄せてきました。実際、緊急事態宣言が出た時だけはテレワークにするという会社さんも多いのではないでしょうか?しかしながら、せっかくのテレワークも普段は一切行わないという会社さんも多いかと思います。
それで良いのでしょうか?
先ず、テレワークはBCP(事業継続計画)に基づいて行うべきであるという事を書かせて頂きます。それは疫病による出社不能のみならず、災害による出社不能の時にも活用すべき制度であるからです。BCPを策定していない会社さんも多いかと思いますが、策定しておき定期的に試験運用しておくと、いざという時にスムーズに本番運用できますので是非とも策定して頂ければと思います。
さて、テレワークを行う際に問題になるのは情報セキュリティをどうするのか?と言う事になります。
テレワークを行わなければ社内ネットワークをファイアウォールとかUTM(統合脅威管理)で守ることで、社内ネットワークを信頼できるネットワークと考えてセキュリティ対策を行うことが出来ます。しかしながら、テレワークを行う際には信頼できるネットワークはなくなります。何故ならば、社外の何らかのネットワークを使う必要があるからです。それがゼロトラストネットワークの考え方になり、数年前からセキュリティ対策を立てる上での主流の考え方になっています。端末から外側は全て信頼できないネットワークである事から、端末側でのセキュリティ対策を強化するという事になります。
端末側でのセキュリティ対策というと「ウイルス対策ソフトを入れる」が思いつくと思いますが、それでは全く不十分で、AI型ウイルス対策やEDR(エンドポイントでの検知と対応)の導入が必要になります。EDRを導入することで端末に押し寄せる脅威を全て検知・対応することで速やかに対策を行うことが出来るようになります。ちなみに、ここで言うところのエンドポイントはパソコンなどの端末になります。ここまでは外部要因による脅威への対策となります。
実際には内部要因による脅威もありますので、その対策としてIT資産管理の導入を行い操作ログを取得し不正が行われた時の証拠を押さえることも必要です。特に社内の目が行き届かない中では不正に手を染めるハードルが一気に下がりますので重要な対策になります。
まとめます。
- ゼロトラストネットワークを前提にセキュリティ対策を行う
- ウイルス対策だけでは不十分でエンドポイント対策まで行う
- 操作ログの取得が常時出来るようにし内部不正対策も行う
これらはテレワークの導入に関係なく対応しておく方が良い対策とも言えます。
中小企業では「取り敢えずテレワークをやってみた」という会社さんも多いかと思いますが、たまたま何も対策しなくても巧くいっただけではないでしょうか?それは、未来永劫巧くいくことが保証されたものではありませんので対策はしっかりしましょう。