withコロナ時代の安全なテレワーク運用とは

新型コロナウイルスの感染拡大により、オフィスに出社して仕事するという、これまで当たり前とされてきた「働き方」の価値観は大きく変化しています。
経営課題として取り組むべき情報セキュリティ対策を課題別の解決策から確認してみましょう。

資料をダウンロードできます!

  • 安心・安全のネットワーク入門ガイド

    安心・安全のネットワーク入門ガイド

  • テレワーク導入のためのTipsその1 成否を決める個人とチームのルールづくり

    テレワーク導入のためのTipsその1成否を決める個人とチームのルールづくり

新型コロナウイルスの感染拡大により、オフィスに出社して仕事するという、これまで当たり前とされてきた「働き方」の価値観は大きく変化しています。 在宅勤務でのテレワークが一般化し、個人の端末から企業データやサービスにアクセスするだけでなく、同僚とのコミュニケーションや取引先との打ち合わせもオンラインで行う機会も増えています。

「電子帳簿保存法」の要件緩和による“脱ハンコ”と“電子化”によるスマートワークに後押しされて、今後もVRオフィスやアバター出勤、オンライン商談やライブコマースなど働き方の多様化はさらに進むでしょう。

このような大きな変化に対応しながらテレワークを安全に運用するためには、担当者とともに経営層がリードして、組織全体で取り組む動きが必要となります。経営課題として取り組むべき情報セキュリティ対策を課題別の解決策から確認してみましょう。

クラウドサービスクラウドサービス利用における課題

  • クラウドサービスを比較するためのリテラシーが不足している

    クラウドサービスは、従来は利用者が手元のコンピュータで利用していたデータやソフトウェアを、ネットワーク経由で、サービスとして利用者に提供するものです。自社内でサーバーやデータベース、インフラ環境を整えて、サービスやシステムを構築・運用する従来のオンプレミス型サービス導入には膨大なコストが必要でしたが、クラウドであれば設備費や開発コストを抑えることができ、さらに管理する手間も省けるため、いまや企業の ITインフラには欠かすことができない選択肢となっています。しかしながら、パブリッククラウド、プライベートクラウド、マルチクラウド、ハイブリッドクラウドなどの多様なサービス形態を比較し、最適解を選択することは容易ではありません。利用を検討する際のポイントを2つ紹介します。

    1. 拡張性

      クラウドサービスでは、サービスベンダーが保有するサーバー環境を利用するため、導入費用を大幅に抑えることができますが、ビジネス環境の変化や事業拡大に伴い、サービスの拡張が必要になることがあります。サーバーの追加やシステム変更も柔軟に実現できるのがクラウド利用メリットですが、利用者数を増やしたり、オプションで機能を追加できるかといった拡張性をあらかじめ確認しておくことをおすすめします。

    2. 運用費

      クラウドサービスは、自社サーバーなどの管理作業がなくなるため運用負荷は減少するはずですが、利用費が継続的に発生します。ビジネスの成長に伴い、システム規模や利用人数が増える場合、オプションサービスの追加によりコストが増えてしまうこともあります。ランニングコストについても十分なシミュレーションをして、導入の検討材料にしてください。

    自社にとって最適なクラウドを選定することが難しく、なかなか検討が進まないという場合にはいつでもご相談ください。

  • クラウドとオンプレミスを比較した場合、クラウドの方が情報セキュリティの担保に不安がある

    クラウドとオンプレミスのインフラとを比較する場合、セキュリティ面が気になる方も多いと思います。2010年から普及しはじめたクラウドサービスは、不特定多数のユーザーが利用するサービスという側面から、多様な情報セキュリティ要件に対する機能実装を重ねてきた歴史があり、ユーザー企業よりも情報セキュリティの知識を豊富に備えていることが一般的です。例えば、情報セキュリティルールが厳格なA社の要求を満たすクラウドサービスの場合、同じサービスを利用する全ての顧客が同様の恩恵を受けられるというメリットがあります。オンプレミスに比べて、クラウドサービスがセキュリティに弱いというのは必ずしも当てはまらなくなっています。

    オンプレミスのインフラでは、ユーザー企業が自社で独自の情報セキュリティ対策を準備し、運用していく必要がありますが、クラウドの場合は、情報セキュリティ対策をベンダーに任せられる部分が多くなるため、情報セキュリティの運用管理にかかるコストや時間を他の業務に活用できるメリットもあります。オンプレミスとクラウドを比較すると、コスト軽減やリソース増減の柔軟性、新技術の導入や情報セキュリティ脅威への対応スピードなど、多くの面でクラウドに軍配が上がります。既存システムのクラウド移行が進み、クラウドファーストがスタンダードとなりつつある理由には、このような背景があるのです。

    withコロナ/アフターコロナ期のテレワーク常態化を鑑み、一度自社のビジネスや利用しているシステムを見直し、積極的なクラウドの利用を検討してみてはいかがでしょうか。NTT東日本ではクラウドサービス導入の検討に役立つ資料をご用意しています。ぜひダウンロードしてご活用ください。

  • 必要な社内システムを実現するにあたり、クラウドサービスのカスタマイズ性が不足している

    クラウドではリソースの追加や削除、変更が柔軟に行えるため、負荷が高まった際にサーバーの台数を増やすことで障害を回避したり、利用頻度が下がった場合にサーバーを減らすことで過剰投資を抑制するなどの「サイズ最適化」というメリットがありますが、基盤に関わる部分は基本的にクラウドベンダーにしか変更できないため、自社のニーズに合わせたカスタマイズ性は低いかもしれません。カスタマイズを必要とされる場合、ある程度自由度が効くプライベートクラウドなどのサービスもあります。プライベートクラウドは特定の企業やコミュニティ内で利用できる形にした自社専用のクラウド環境で、仮想化したネットインフラやプラットフォームなどのリソースを自社内に設置して社員に供給するオンプレミス型、ベンダーが提供するクラウド環境内に自社専用の領域を構築して利用するホスティング型の2つに分けられます。

    1. オンプレミス型プライベートクラウド

      自社の情報セキュリティポリシーの導入や障害に備えた機器の冗長構成など、自社専用に独自の設定が可能で、大企業に向いています。セキュリティ性とカスタマイズ性に長けていますが、導入コストや運用面での負担が大きくなります。

    2. ホスティング型プライベートクラウド

      パブリッククラウドのような利用感と、オンプレミス型プライベートクラウドのような安全な運用が可能で、中小企業~中堅企業に向いています。導入スピードやコスト、運用面に長けていますが、アクシデントが起きた場合はベンダー対応となるため、利用再開までに時間がかかることも考えられます。

    クラウド導入を検討する際、ニーズに即した機能をできるだけ多く網羅しているサービスを選ぶことがポイントです。

  • インターネットに接続されたサーバー上にデータを置くことによる情報漏えいが懸念

    withコロナ/アフターコロナでテレワークが常態化する今後、クラウドサービスの活用なくしてビジネスの発展は望めません。総務省による「情報通信白書令和元年版」では、クラウドサービスを一部でも利用している企業の割合は58.7%に上り、利用した効果については、「非常に効果があった」または「ある程度効果があった」と回答した企業の割合が83.2%とたいへん高く、これからもクラウド化の流れは止まりそうにありません。

    多くの企業がテレワーク対応を進める今、業務効率化に欠かせない「クラウドサービス」の利用企業が増加している一方、テレワーク利用急増をきっかけに情報セキュリティの問題が次々に表面化し、情報漏えいへの懸念も高まっています。日本ネットワークセキュリティ協会(特定非営利活動法人)は、企業が情報漏えい事故を起こした場合、一件当たりの平均で6億3,767万円もの損害賠償費用が発生すると発表しています。クラウドサービスの最大のメリットは、誰もがいつでも・どこからでも情報にアクセスできることですが、この利便性が情報セキュリティ上の脅威になり得ることは認識しておかなければいけません。

    情報セキュリティ対策が幾重にも施された堅牢なデータセンターにサーバーが設置され、情報セキュリティに精通した専門家がデータの出入口を重点的に監視し、悪意のある第三者が不正に侵入しようとした場合でも即座に対応できるようにするなど、クラウドサービスでは厳重な情報セキュリティ対策が施されています。自社でシステムを運用するより安全性は確実ですが、自社の対策が不十分な企業における情報漏えいリスクも懸念されます。経済産業省では「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公開しており、クラウドベンダーが自らおこなうべきこと、ユーザー企業がベンダーに対して求めるべきこと、クラウド環境における情報セキュリティマネジメントの仕組みが記載されています。

    IPA(独立行政法人 情報処理推進機構)ではクラウドセキュリティの指針になるチェックシートが公開されています。

    クラウドサービスを利用する際は、情報セキュリティ対策レベルや保証の範囲などをあらかじめ確認したうえで、信頼できるベンダーを選定するだけでなく、自社での情報セキュリティに関する取り組み方も見直していく必要があります。

    • 「2018年情報セキュリティインシデントに関する調査結果」より
  • 会社全体で明確な運用ポリシーやルール整備が追いつかない

    クラウドサービスを利用するということは、システムの保守・運用や管理などの負担を軽減できるというメリットの一方、社外に情報を保管するリスクや、クラウドサービス事業者の情報セキュリティ対策状況に依存してしまうという懸念点もあります。そのため、クラウドサービスを活用するための情報セキュリティポリシーの策定、運用ルールやガイドラインの整備を行い、バックアップやアカウント管理などの情報セキュリティ対策を実施するとともに、社員・職員のポリシー遵守の徹底が求められます。

    運用ルールやガイドラインは、クラウドサービスで扱うのはどんな業務、どんな情報なのか、そこには個人情報や機密情報が含まれるのかといった観点から明確に設定し、情報セキュリティポリシーに則った運用を行う必要があります。

    情報を外部に預けることで生まれるメリットと、利用に伴うリスクを把握し、クラウドサービスを有効的に活用するため、まずはルールを明確にしましょう。自社だけでは判断が難しい場合は、外部の情報セキュリティ専門家に相談してみるのも良いでしょう。

  • クラウドサービス自体のウイルス感染による情報の消失

    クラウドサービスには、画像や文書データなどをクラウド上に保存できるストレージサービスや、オンライン会議や会計システムのような情報共有の利便性を追求したものなど、多種多様なサービスが提供されています。クラウドサービスのメリットは、他のユーザーとさまざまな媒体で簡単に情報のやり取りや共有ができることであり、この特性をビジネスに活用することで大きな利益を上げている企業は少なくありません。2020年はクラウドサービス利用企業の割合が大幅に上昇し、企業全体の半数近くに上りました。そのうち多くの企業でサービスの効果を実感しているという調査結果も出ています。

    コロナ禍によるテレワーク環境の必要性が高まったことでクラウドサービスの積極的な利用を考える層がいる一方、セキュリティ面への不安やサイバー攻撃などによる情報漏えい、貴重なデータの消失を懸念して、導入を躊躇する人々がいるのも事実です。

    サイバー攻撃によるランサムウェア被害、マルウェア感染被害によって重要書類や機密文書などの大切な情報が漏えいしたり、サーバ障がいで復旧ができなくなるというデータ消失の危険性が拭いきれないという危惧だけでなく、運用の安定性や従量課金による費用変動、運用負担、サポート体制への漠然とした不安を払しょくできず、導入に踏み切れていない企業が多いようです。

    今後のITインフラを考える際、クラウド活用という選択肢は必要不可欠な存在となっています。しかし、不安を解消することなく闇雲にクラウドに移行してしまえば、予期せぬ失敗に陥りかねません。クラウドサービスを導入する際は、不安要素を棚卸して、コストやサービス面だけでなく、セキュリティ面も考慮した上、解消が可能な要素かどうかを明確にすることが大切です。

    とは言え、近年はクラウドサービス事業者の多くがセキュリティ面に力を入れているため、不安視されているような不正アクセスやデータ損失、感染被害といった可能性は低くなっています。そのセキュリティ対策は、利用者である企業が自前でオンプレミスのシステムを保有して実施する対策よりもレベルの高い内容が実施されていることがほとんどです。

    クラウドサービスの利用者は、障害発生やセキュリティリスクなどを念頭に、サービス事業者によるセキュリティ対策を理解した上、チェックシートなどを利用しながら適切に事業者の選定を行うことを推奨します。

    IPA(独立行政法人 情報処理推進機構)ではクラウドセキュリティの指針になるチェックシートが公開されています。

    また、どんなにサービスのセキュリティが強固になってきたとはいえ、それを利用する側の不注意でマルウェアへの感染や情報漏えいのような脅威につながってしまう可能性はゼロではありません。
    そのためスタッフ一人一人が情報セキュリティ対策の重要性を理解しつつ、サービスを利用することが重要です。
    そして、本当に大切なデータについてはクラウドのみに保管せず、定期的にバックアップをとるようにしたいものです。

    このようにクラウドサービスで大切なデータが消失したり感染被害にあわないようにするためには、セキュリティ対策が十分に講じられている事業者を選ぶこと、定期的にバックアップを取ること、利用者一人一人が研修などを通じて情報セキュリティに対する意識を高めることが重要です。

    自社で不安要素をすべて洗い出し、解消することは容易ではないかもしれませんが、クラウドサービスを扱うIT業者を利用することも一つの方法です。専門知識を持ち、自社の状況やニーズに最適なクラウド環境を提案してくれる業者に依頼することで、常に最新で快適なクラウドサービス環境を利用できます。

  • オンプレミスとクラウドの相違点を理解し、クラウド移行の経済性(TCO)を評価しよう

    オンプレミスとクラウドの相違点を理解し、クラウド移行の経済性(TCO)を評価しよう

  • 2021年4月20日開催ウェビナー AWSにおけるセキュリティの基礎と、事故事例及び専門家によるチェックの必要性 ~アマゾン ウェブサービス ジャパン株式会社による解説~アーカイブ動画視聴

    2021年4月20日開催ウェビナーAWSにおけるセキュリティの基礎と、事故事例及び専門家によるチェックの必要性~アマゾン ウェブサービス ジャパン株式会社による解説~アーカイブ動画視聴

  • はじめてのオンラインストレージの選び方

    はじめてのオンラインストレージの選び方

テレワークテレワーク利用における課題

  • 家庭内ネットワークや個人のパソコン・スマートフォンを利用

    テレワークに従業員の私物パソコンを利用する場合、リスクをよく検討して情報セキュリティ対策をすることが重要です。
    近年はパソコンのほか、スマートフォンやタブレット端末などデバイスが多様化しています。従業員の私物でそれらを利用できれば導入コストを抑えられると考えられますが、個々の端末について適切な管理が難しいことがデメリットになります。

    個人所有のパソコンでは、不十分なウイルス対策によるマルウェアへの感染や、個人向けのフリーソフトやクラウドサービス利用などにより業務上の機密情報が流出する恐れがあります。
    また、ルーターなど周辺機器のセキュリティが不十分な状態で家庭内ネットワークから業務することも、同様のことが考えられます。
    情報セキュリティ対策を怠ると、追加でコストをかけて対策をしなければならなかったり、事故の発生により大きな損失を受ける可能性もあります。

    そうならないためにも、企業は情報セキュリティガイドラインの策定などによって従業員の意識を高める必要がありますが、その前提として安全なテレワーク環境を用意しなければなりません。
    利用する端末に適したテレワーク環境を検討する際は、ぜひご相談ください。

  • アクセス制御と利便性の両立が難しい

    時間や場所にとらわれない作業を可能にするテレワークですが、自由度が増すほど、機密性や安全性との両立が重い課題となってきます。
    柔軟な働き方を目指せば、多様なデバイスからアクセスしたり、複数のクラウドサービスを利用することもあるでしょう。ユーザー判別のためのID/パスワードが多くなると、管理が煩雑になり、人的ミスや情報セキュリティポリシーからの逸脱につながりかねません。

    そうした複数管理の煩雑さを解決する手段に、シングルサインオン(SSO)があります。
    SSOは、一組のID/パスワードによるログインで、利用するすべてのサービスへアクセスする仕組みです。これによって、従業員は作業環境へのアクセスが容易になり、ログイン情報の管理にかかわる負担も減ることが見込まれます。

    オンラインでの業務が増えるなか、アクセス制御と利便性を両立させたいとお考えの際は、お気軽にご相談ください。

  • オフラインの時よりもコミュニケーションがとりづらい

    テレワークの時間が増え、コミュニケーションがとりづらいと感じることはないでしょうか。
    多くの職場では、テレビ会議やチャットをコミュニケーションの手段として導入しています。しかし、オフラインでの意思疎通に比べ不十分だと感じたり、オフィスでの日常的な雑談のような気軽さがないと感じている人は多いです。ツールを導入することにとどまらず、具体的な運用ルールも考えていく必要があるでしょう。

    例えば、時間を決めて定期的に会話する機会を設ける、業務以外のことを話せるチャットルームを設けておくなど、簡単にできることはあります。
    利用者の意識が変わり、オンラインでも気軽にコミュニケーションができるようになれば、業務での行き詰まりや悩みなども対面より相談しやすくなるかもしれません。

    コミュニケーションの円滑化を実現させるために、NTT東日本では環境面での設定などをお手伝いします。

  • 社内ネットワークに侵入するための踏み台として、家庭内ネットワークが悪用される可能性

    オンライン環境では、利用者個人が情報セキュリティ意識を高めていかなければなりません。業務に個人端末や家庭内ネットワークを利用する場合は、特に注意が必要になります。
    個人の端末でウイルスなどの対策が必要なことはもちろん、ホームルーターなどの周辺機器のセキュリティも重要です。例えば、悪意のある第三者により、家庭内ネットワークを踏み台として社内ネットワークに侵入される可能性もあります。
    それを防ぐために、機器のセキュリティには注意しておきましょう。以下のような内容は、個人でも対応可能です。

    • 業務で利用する端末には、情報セキュリティソフトの導入が必須
    • OSやソフト、アプリのバージョンは適切に更新する
    • ルーターなど各種機器は、ID/パスワードを初期値のままにしない
    • 各種機器のファームウェアを適切に更新する

    また、業務で使用するVPNソフトやアプリなどは、信頼できるものを選定しましょう。
    管理者が機器をレンタルしたりソフトを用意する場合には、サポートがしっかりしたサービスを選ぶことも効果的です。

  • 業務に無関係なWebサイトの閲覧や不必要なソフトウェアのインストールによるマルウェア感染

    業務での使用を許可する場合には、個人パソコンであっても企業で規定した情報セキュリティ対策を行いましょう。
    業務に無関係なWebサイトの閲覧や不必要なソフトウェアのインストールなどによって、マルウェアに感染する恐れがあります。その端末で社内ネットワークにアクセスすれば、ネットワーク上の他端末にも影響を与えてしまいます。

    閲覧したサイト自体が不正な場合だけでなく、過去には正規の企業サイトが改ざんされて閲覧者を悪意あるサイトへ誘導したり、フリーソフトに同梱してマルウェアをダウンロードさせる事例もありました。また、メールによるフィッシング詐欺なども増加傾向にあり、注意しなければなりません。
    日々進化するWeb上の悪意に対応するためには、情報セキュリティソフトの導入、OSやソフトウェアのアップデート、ID/パスワードの厳重管理などを徹底しましょう。

  • ネットワークやオンライン業務における情報セキュリティノウハウの不足

    ネットワークやオンライン業務において情報セキュリティ対策が重要であることは理解していても、ノウハウの不足を感じている企業は多いかもしれません。また、テレワークで業務の自由度が上がるとともに、従業員の意識も必要になってきますが、ITリテラシーは個人によってバラつきがあるものです。
    企業はテレワーク環境を構築する際にセキュリティ面も考慮した環境を準備するとともに、情報セキュリティガイドラインを策定し各従業員に徹底するのがよいでしょう。

    セキュリティ構築の際は「ゼロトラスト」の考え方が有効です。機器などの安全性を「信用しない」ものとして、対策を検討していく方式です。また攻撃は100%は防げないものとし、万が一のときは被害を最小限に食い止めることも考慮すべきです。
    具体的なノウハウが不足していると感じるときは、専門の業者に相談をしてみるのがよいでしょう。NTT東日本では、ワンストップでネットワーク環境を構築できるサービスが揃っています。お気軽にご相談ください。

  • 人員と予算に制約も多い中小企業にとって、情報セキュリティ対策費そのものが負担となっている

    人員と予算に制約も多い中小企業にとって、情報セキュリティ対策費そのものが負担に感じることもあります。
    企業が情報セキュリティにかける年間コストは、IT予算の15%ほどをかける場合が年々増えてきています(一般社団法人 日本情報システム・ユーザー協会「企業IT動向調査報告書2021」)。その金額は、管理対象となる従業員数によっても変わってきます。テレワーク導入で管理する端末や機器が増えると、さらに費用をかける必要があります。また、情報セキュリティに詳しい担当者を配置するのが難しい場合もあるでしょう。
    しかし事故が起こった場合の損害や補償を考慮すると、情報セキュリティコストをおろそかにすることはできません。自社に合った適切な対応を検討しましょう。

  • 不正サイトへのアクセスを防ぎきれない

    企業で使用する端末やルーターなどの通信機器は、常に情報セキュリティ対策に気を配ることが必要です。
    OSやソフトウェアを適切にアップデートする、業務の範囲内の使用にとどめるなど、一般的な対策は必ず実施しましょう。実際に、修正パッチを適用していなかったために悪意ある攻撃を受けてしまった企業の事例もあります。

    しかしながら、近年では攻撃者の手法も高度になってきています。正規のサイトが改ざんされる例もあり、不正サイトへのアクセスは完全に防ぎきれないという前提で情報セキュリティを設計する対策も出てきています。

情報セキュリティ情報セキュリティ検討における課題

  • 今日のような脅威の状況においては時代遅れのリモート・アクセス・テクノロジー

    安全なリモートワークは、VPN回線を用いることで実現できると言われていました。
    VPNでは、社外からでもイントラネットに接続して作業ができるため、安全だと考えられていました。しかし、VPNに接続可能な端末が盗まれたり、従業員のアカウントが乗っ取られたらどうでしょうか。悪意あるユーザーはイントラネットに入ってしまえば自由に振舞えてしまいます。また、VPNの脆弱性をつかれ企業が損害を受けた事件もありました。残念ながら今日のような脅威の状況においては時代遅れのリモート・アクセス・テクノロジーともいえるのです。
    こうした危険があることを考え、あらかじめすべての通信を信頼しない環境構築を行う「ゼロトラスト」の考え方が出てきています。

  • 運用管理が煩雑

    各拠点間の通信や、データセンターとの通信で用いられるVPNですが、その導入や運用管理には担当者のスキルや対応稼働が欠かせません。例えば担当者には、拠点数の増減、各種端末の普及によるエンドポイントの多様化、IPv6導入など、煩雑な状況に応じた柔軟な対応が求められます。
    VPNの特性を理解した上で、導入時の設計や設定、運用管理を行い、情報セキュリティ対策を実施することで、安全性を担保する必要があるのです。

    解決方法

  • VPNが遅いことで自身の個人端末に機密データを保存してしまう

    新型コロナウイルス対策の一環として、多くの企業でテレワークの導入がなされており、導入手法のひとつとしてVPNが採用されています。テレワーク導入が各所で進められた中、大勢が使い始めたことにより、VPNは速度が遅いといった問題の発生が懸念されています。
    通信速度の遅延により業務に支障が出ることを回避するため、個人端末を利用し機密データを保存してしまうと、ネットワークを経由した攻撃による情報漏えいや端末紛失による情報流失といったリスクが生じる恐れがあります。

  • 社内スタッフの知見だけでは導入が難しい

    多様化するサイバー攻撃への対応はいまやどの企業でも共通する課題です。データを暗号化したりパソコンをロックして身代金を要求する「ランサムウエア」被害のニュースも目にするようになりました。しかしながら自社内で対処にあたる情報セキュリティ人材を確保するのが難しいのはやはりどの企業でも共通です。「企業IT動向調査報告書2021」(一般社団法人 日本情報システム・ユーザー協会)によると、コロナ禍においてIT部門人材の需要が増すとともに、人材確保に悩む企業も多いといいます。この課題に対しては、自社で情報セキュリティ人材を育成するたけでなく、アウトソーシングという手段も情報セキュリティ人材の確保には有効です。

  • 管理するIT担当者の人材不足

    サイバー攻撃への対応等、専門性を持った情報セキュリティ担当者が企業には必要です。しかしながら、情報セキュリティ担当者は人材不足が深刻な状況となっています。情報セキュリティ担当者も、自社の情報セキュリティ対策やインシデント発生時の対応のような実務に関することよりも、専門性を持った人材の不足にもっとも苦慮しているという状況です。企業での情報セキュリティ対策には情報セキュリティ担当者を育成ももちろんですが、一般の社員にも情報セキュリティ教育を行い、情報セキュリティの観点から正しい行動ができるようになることも有効です。

  • アンチウイルス製品を用いて定義ファイルを常に最新のものに更新するだけでは、新たな脅威に備えられない

    インターネットに接続すると、危険はいたる所に潜んでいます。
    例えば、コンピュータウイルスと呼ばれるものには以下のようなタイプがあります。

    • マクロウイルス:WordやExcelなどのファイルに悪意のあるマクロが仕込まれたものです。
    • トロイの木馬:役に立つソフトにみせかけてユーザーのダウンロードを促し、パソコン内で悪意のあるプログラムを実行します。
    • ランサムウェア:入り込んだパソコンをロックしたりファイルを開けない状態にし、これを解除するための身代金を要求します。
    • ワーム:自己増殖してネットワーク内のほかの端末を感染させる破壊的なプログラムです。
    • ブートセクターウイルス:USBメモリなどの外付けストレージメディアに潜んで感染します。

    コンピュータウイルスへの対策として一般的なのが端末ごとのウイルス対策ソフトのインストールです。
    アンチウイルスソフトはマルウェア(Malicious software:悪意のあるソフトウェア)の特徴的な攻撃パターンをシグネチャというルールで定義して、定義に一致したファイルをマルウェアとして検知する「パターンマッチング方式」と呼ばれる仕組みですが、急速にテレワーク化が進む昨今、アンチウイルスソフトを最新状態にしておくだけでは、脅威対応として不十分になってきているようです。

    サイバーセキュリティにおける危険はウィルスやマルウェアだけではありません。
    インターネットに接続する端末では、通信上の脅威にも対応する必要があります。

    アンチウイルスソフトは受信したデータや端末内部をスキャンし安全を保ちますが、通信内容については対策できません。
    無線Wi-Fiなど無防備なネットワーク回線を利用する場合、何も対策しなければ、サイバー犯罪者やハッカーによって通信を簡単に覗かれてしまう危険性があります。
    オンラインでやり取りされるデータはさまざまで、銀行口座やショッピングサイトのアカウント情報などはもちろん、サイト閲覧などのオンライン活動そのものが行動追跡などで狙われることがあります。
    さらに、ニューノーマルな働き方で仕事の場所を選ばない昨今、業務上のやりとりもネットワーク経由で行うことが増えています。
    業務上の通信が傍受されれば、サプライチェーン攻撃(ターゲット企業のグループ会社、業務委託先、発注先、仕入れ先などを攻撃し、それを足がかりにターゲット企業に侵入する方法)によって、自社だけでなく取引先もサイバー攻撃対象に巻き込んでしまうかもしれません。企業規模に関わらず、通信データの機密を保護することは必須と言えます。

    通信を暗号化してネットワーク上の安全を守る対策として「VPN(仮想プライベートネットワーク)」があります。
    通信を守る仕組みとして、VPNは以下のような機能を備えています。

    • トンネリング:公衆回線で仮想的な専用線を構築します。
    • カプセル化:送受信するパケットを別のプロトコルで包みます。
    • 認証:送信者と受信者が正しい相手であることを確認します。
    • 暗号化:データが第三者に見られても、内容を読み取れないようにします。

    安全なVPNを経由することによって、悪意ある第三者による通信内容の盗聴・改ざんを防ぐことができ、暗号化によってメールやファイル、パスワードなどデータの機密性が保たれます。

    このように安全性を高めるVPNですが、ウイルス対策ソフトのように端末内に入り込んだマルウェアを駆除することはできません。
    近年では、機械学習を活用してエンドポイント端末上の振る舞い(挙動)から悪意あるプログラムか否かを判定する「振る舞い検知」や、「社内も社外も信頼しない」という前提ですべてのものに対して信頼できることを都度確認する「ゼロトラストモデル」など、パターンマッチング方式の弱点を補う技術も進んでいますが、まずはVPNとウイルス対策ソフトの両方で、機密データと端末を保護するようにしましょう。

  • 情報セキュリティ投資に関する経営層の理解不足

    サイバーセキュリティ対策は情報セキュリティ担当者だけが考えるべき問題というわけではありません。
    例えば、対策が十分になされていない企業を入り口に大企業の重要情報が漏えいするなどした場合には、最初に攻撃された企業は取引先との関係を絶たれ事業継続が困難になったり、企業自体の社会的な評価が下がってしまう可能性があります。
    つまり、情報セキュリティ対策不足は経営を揺さぶる大きな問題へと発展してしまうため、リスク管理の一環として対応は必須です。
    ですが、担当者と経営層とでは情報セキュリティに関する知識に差があることや、発生しない事柄への投資は納得がしづらいことから情報セキュリティ投資へのモチベーションにギャップが生じることは珍しくなく、その重要性を伝えきれず無策のままとなってしまうという企業の方も多いのではないでしょうか。

    では、経営層に情報セキュリティのリスクを理解してもらうためには何に留意すべきでしょうか。

    1. リスクを具体的な数字にする

      例えば、自社での情報セキュリティ事故発生率の数値や、自社において重大インシデントが発生した場合に支払うことになる損害賠償などの被害額、それによって純利益にどの程度影響が生じるのか、などの財務インパクトのように、経営にどの程度の影響をきたすのか伝えることが有効です。

    2. ビジネス影響の観点から説明をする

      情報セキュリティの技術的な詳細情報だけは経営者からの理解を得難いことが多いです。
      冒頭でも触れましたが、万一情報漏えいなどが生じた場合には自社だけでなく取引先の事業継続をも危ぶむこととなります。
      つまり、社会において健全な企業活動を続けるためには、企業として情報セキュリティ対策を講じることが社会的に求められるということになります。自社の利益のみを考え対策を怠っては、社会責任を果たせないということになります。

  • 情報セキュリティ用語集

    エンドポイントやゼロトラストセキュリティなど次世代セキュリティに関する用語も掲載!情報セキュリティ用語集(2021年7月1日版)

  • ひとり情シスで悩んでいる人へ。NTT東日本がクラウド運用を支えます!

    ひとり情シスで悩んでいる人へ。
    NTT東日本がクラウド運用を支えます!

  • 図解でわかる!クラウドシステムの障害対応シミュレーション~実際の障害事例と運用体制チェックリスト付~

    図解でわかる!
    クラウドシステムの障害対応シミュレーション~実際の障害事例と運用体制チェックリスト付~

働き方改革働き方改革における課題

  • 24時間365日でのサポート対応、インシデント対応をしたい

    働き方が多様化すると、それを支えるシステムの運用・保守にも柔軟性が要求されます。
    インシデントが発生したらすぐに対応してくれる窓口があれば、従業員はリモートでも安心して働けるでしょう。しかし、いつでもサポートできる体制を自社で整えようとすると、企業にとっては負担も大きくなります。例えば、24時間365日サポート対応すると、必要な工数は単純に計算して720時間です。

  • ハッカーによる攻撃対象とならないか

    テレワークが普及することにより、サイバー攻撃による脅威も高まっています。
    情報セキュリティー企業の調査では、企業ネットワークへリモート接続するパソコンに対して、不正アクセスを試みる例が次第に増えているという発表もありました。
    サイバー攻撃は海外から行われるものが多いですが、被害の面では日本企業も例外ではありません。
    特に近年は、世界的なイベントが開催される予定などで日本への注目が高まっていることから、ターゲットとされる恐れも増しています。
    ハッカーはシステムの脆弱性やそれを放置するユーザーを狙っています。対策を怠れば、テレワークを行う従業員一人一人が、攻撃対象にされる可能性があるのです。

  • 紙媒体資料をどのように保管するか

    オフィスを縮小するにあたり、紙媒体の資料を適切に管理する必要があります。例えば、不要な紙の資料を廃棄して、必要な資料を電子化することが挙げられます。ペーパーレス化を導入することにより、紙や印刷コストの経費を軽減するとともに管理場所のスペースを確保することができます。また、書類を電子化することで、データ化した書類を遠隔地からでもアクセスすることができるため、緊急時の事業継続にも役立てることができます。

    紙資料を整理して保管する方法を紹介します。

    1. 不要な書類を廃棄します。

      保管期限が過ぎたら廃棄する仕組みを作りましょう。

    2. 書類をファイリングして管理します。

      案件や顧客ごとにファイリングします。
      部署や業務ごとに適切な文書管理ルールを策定してください。

    3. 書類を電子化します。

      書類を電子化し、社内ネットワーク上のフォルダに格納することで書類を共有することができるようになります。

  • それぞれの従業員が自宅で資料を保管

    テレワークによるオフィス以外の場所での作業には、情報漏えいや端末のウイルス感染などのリスクを伴います。
    特に紙媒体の資料は、社外に持ち出すことで、紛失や盗難などによる情報漏えいに繋がる可能性があります。
    紙媒体を社外に持ち出さないようにルールを策定するとともに、ペーパーレス化を推進することで紙の文書の電子化を進めていくことが、持ち出しによる紛失や盗難を防ぐことに効果的です。紙媒体のデータを持ち出す場合には、決めた場所に管理し、廃棄する際にはシュレッダーを使うなど、在宅勤務でもオフィスと同様の取り扱いを徹底するようにしてください。

  • 在宅勤務の環境で情報セキュリティインシデントが発生した際、兆候に気づきにくい

    テレワークが進み、管理者の目が届かない環境で社員が作業することで、問題が起きた際に管理者がそれに気づきずらい環境が生まれています。それにより発生するリスクとしては、マルウェア感染が二次被害へ拡大、内部不正による情報漏えいなどがあげられます。

    これらを避けるための対策をしていますか?

    • 問題発生時の連絡先の周知
    • パソコンやデータの持ち出し時のルール設定
    • 定期的なウイルスチェック
    • ウイルスの侵入を前提とした情報セキュリティによる防御

    情報セキュリティ問題の発生を未然に防ぐよう努めながら、起きてしまった時の対応をしっかりと定めておくことが必要です。

  • シャドーITの把握、管理が難しい

    テレワークが定着する中で、場所を問わずに利用ができるクラウドサービスは非常に便利です。その便利さ故に、会社の許可していないサービスを社員が使って業務するシャドーITのリスクが高まります。以下のような状況は非常に危険です。

    • 会社契約でないオンラインストレージサービスに業務情報を保存する
    • 個人のメールアドレスでやり取りをする
    • 無許可でwebサービスを利用する

    これらの行為は管理者が実態を把握しづらく問題が発生した際のリカバリーが困難になるため、企業シャドーITをさせない環境をつくることが求められます。

  • セキュリティが万全でない公共Wi-Fiからの情報漏えい

    近年、電車・バス・タクシー・航空機などの交通機関や駅・空港などの交通施設、飲食店・デパート・ショッピングモールなどの商業施設など公共の場で無料で使える公共無線LAN(無料Wi-Fi)が提供されるようなってきています。オリンピックの開催もあって公衆スポットにWi-Fiを設置するケースも増加しています。こういった公衆スポットで提供される無料Wi-Fiは誰でも気軽に使える便利なサービスですが、誰でも気軽に使えることが優先されるがゆえにセキュリティより利便性が優先されがちです。公衆スポットでは職場や家庭と違って不特定多数の人が無料Wi-Fiスポットにアクセスしてくるため、大切な情報をやり取りするときはとくに注意が必要です。

    例えば、接続されたスマートフォンやパソコンの通信内容から個人情報を盗み取るために開放されている悪意を持った無料Wi-Fiが紛れ込んでいる可能性があり、もし安全でない無料Wi-Fiに接続してしまうと、通信した情報やパスワードが盗まれたり、偽のサイトに誘導するためのメールを送りつけてウイルスに感染させられてしまうなどの可能性があります。万が一、仕事のデータや取引先の情報などが漏えいしてしまうと、訴訟問題に発展しかねません。
    ネットを利用したコンテンツやテレワークなどの働き方が増えたり、通信制限を回避するためなど、無料のWi-Fiスポットを利用する機会も多くなってきていると思いますが、情報セキュリティ対策は利用する側の責任です。情報漏えいや犯罪に巻き込まれるリスクが潜んでいることを知り、常に安全に利用するための知識を更新していくことが大切です。

  • はじめてのオンラインストレージの選び方

    はじめてのオンラインストレージの選び方

  • 「クラウド」活用によるあたらしい働き方

    「クラウド」活用によるあたらしい働き方

  • Withコロナを考える!補助金を活用した働き方改革セミナー

    Withコロナを考える!
    補助金を活用した働き方改革セミナー

業務管理業務管理における課題

  • 社内外への二次感染やさらなる被害拡大が不安

    ネットワークへのウイルス侵入経路はメールまたはweb、また現在ではVPNなどの隙を狙った攻撃が見受けられます。
    テレワークが浸透する中、これらの脅威に対してどのような機能が必要なのでしょうか。

    • 自組織とインターネットの境にアクセス制限を行い、必要な通信のみを許可する
    • 通信の監視を行う
    • 万一社内ネットワークに攻撃者が侵入しても最終防衛ラインで防御する

    これらを行うことで、自宅パソコンのマルウェア感染などによる二次感染を少しでも食い止める助けとなります。

  • 強制がおよばないデバイスで業務をしてしまう

    テレワークでは「就業状況が把握しにくい」、「社員とのコミュニケーションがとりづらい」などの課題があります。上司の目も行き届きづらい環境下でも、さまざまな情報セキュリティ対策の策定と実施が大切です。

    どのような対策が有効か、こちらでご紹介します。

    1. 情報セキュリティポリシーの策定

      利用者が情報資産を管理する自覚をもつ必要があります。

    2. トラブルが発生した場合の訓練

      ポリシーを定めるだけでなく、それに沿ってスムーズに対応できることが重要です。

    3. 情報セキュリティポリシーに沿った対策

      低コストで専用線のように高セキュリティで利用できるVPNを活用するなどします。

    NTT東日本では情報セキュリティ対策商品を多数取り扱っています。あなたの会社の環境に合わせたご提案が可能です。

  • 悪意を持った第三者による不正サイトへの誘導(フィッシング)など、不正アクセス等による情報漏えい

    コロナ禍において懸念される情報セキュリティ問題の1つは、テレワークを開始したばかりの企業を危険を狙うサイバー攻撃者からの脅威です。在宅勤務経験の浅い人はこれまで高セキュリティの社内ネットワークで作業してきたために情報セキュリティを確保するという習慣がなく、マルウェアやランサムウェアの被害にあいやすくなります。そのため企業側が脅威への対策をする必要があります。

    そこで重要なのは総合セキュリティ製品を導入することです。
    情報セキュリティ製品を選ぶ際には、以下のような多くの種類のウイルスを対処し利用者を保護する機能を備えたものを選びましょう。

    • ゼロデイ攻撃(情報セキュリティの新たな脆弱性が是正がされる前にその弱点を狙うウイルス)
    • フィッシング詐欺
    • マルウェア、スパイウェア、ウイルス
    • トロイの木馬およびワーム

    従来のウイルスを対処するとともに、新たな脅威となるウイルスにも対応するように、定期的にアップデートの行われる製品であることも重要です。

  • VPN接続を強制しても利用制約や手間が多いことから、VPN接続を回避してしまう

    急なテレワークへの対応を迫られ、昨今ではVPNの逼迫や社員がVPN接続を徹底できないなど、VPN運用の課題が浮き彫りとなっています。

    そんなVPNではありますが、これを利用せず個人宅Wi-Fiでインターネット接続して業務を進めると、以下のようなリスクのおそれがあります。

    • データ漏えい:社内ネットワークを介さずにインターネットへ直接データ転送してしまい、機密情報が漏えいする
    • マルウェア感染:会社によるフィルタリングがないため、管理者のコントロール範囲外で危険なネットワーク接続が行われる
    • ログ取得漏れ:社内システム下にない状態のため、マルウェア感染した際に操作履歴などを把握できず二次被害拡大に備えられない

    社員のテレワークを進める際には、このような問題が起きても追跡できるようなネットワーク環境の提供が好ましいです。

  • 機密資料や重要資料、顧客管理情報などの紛失や盗難

    コロナの影響によりテレワークやリモートワーク、在宅勤務導入など、新しい働き方が注目されています。業務形態や運営費用に合わせて、これまでの事業所を移転する企業も珍しくありません。以前はオフィスで勤務することが当たり前でしたが、働き方の多様化にともない、オフィスの在り方や環境の見直しなどの必要性を感じる人が増えているようです。

    今までの常識や状況が大きく変わるという場面で使われることが多い「ニューノーマル」という言葉ですが、withコロナと呼ばれるこれからのニューノーマル時代に合わせるため、事業所の移転を検討している企業も急増しています。

    事業所移転や引っ越しにあたっては、自社の営業機密や顧客の個人情報など機密情報の扱いは必ず考慮しなければなりません。運搬するにしても破棄するにしても、情報の紛失・流出に繋がる可能性をできる限り排除できるよう、適切な方法をとる必要があります。

    重要な書類と、通常の書類が混在していると、誤って重要書類まで廃棄してしまう可能性が高くなります。平常時は「機密」扱いされていた文書も、運搬を依頼する時にはダンボールなどに入れて運ぶことになるので、他の荷物に埋もれてどこに入れたか分からなくなってしまうこともあります。

    移転先へ運ばず破棄する場合にも、注意が必要です。 一般廃棄物としてそのままゴミに出してしまうと、悪意ある人の手にわたる可能性があるので避けましょう。必ずシュレッダーによる裁断もしくは、機密書類を溶解処理する業者を利用します。
    運搬・破棄する際には機密性の高いものとそうでないものの扱いを分けることが必須となるので、日ごろから書類の整理・整頓を心がけることも重要です。

    昨今、機密情報は紙書類(ハードコピー)でなく電子データで保管することが主流になってきていますので、パソコンやハードディスク、各種記録メディアの扱いについても、移転作業の際には細心の注意を払わなければなりません。
    事業所移転のため運搬をする際は、必ずパソコンロックを導入しましょう。USBやSDカード、ドライブ内のCD/DVDなどの物理的な小型記録デバイス、メディアは必ず外して運搬します。

    CD/DVDなどの廃棄においては、粉砕処理するためのシュレッダーを用いるか、機密抹消サービス専門業者に依頼するなどの方法もあります。専門業者に回収されたメディアは破砕処理されたのち、細かく砕いてサーマルリサイクルされることも多いので、CSRやSDGsに関心がある企業は利用を検討するのも良いでしょう。

    • 「サーマルリサイクル」とは…プラスチックなどの廃棄物を焼却する際に発生する熱を発電や温水利用などの熱エネルギーとして利用したり、加工して石油や石炭の代替エコ燃料として使用するなどのリサイクル方法

    また、普段から個人使用のパソコンなどに重要データを保存・分散させないことも重要です。ハードディスクドライブやメモリなどを搭載した機器を破棄する場合、パソコンの初期化・ゴミ箱を削除するだけではデータは完全には消えないので注意が必要です。またハードディスクドライブ通常のフォーマット処理でデータを消去しただけでは、特殊なソフトウェアを用いることで復元されてしまうことがあります。データ消去用のソフトを使用して非可逆的に復元できない状態にして、信頼できる専門の処理業者にハードディスクの破棄を依頼しましょう。処理業者にはデータ消去から依頼することもできますし、物理破壊方式や強磁気破壊方式で完全に復元不可能な状態にして、消去証明書を発行してくれる場合もあります。

    事業所やオフィスの移転時にはどうしても外部の業者や引っ越しスタッフが出入りしてしまうため、荷物の持ち運びをする機会が増えます。書類や電子機器に対して個別に対応していても、移転作業の過程で流出や紛失が起こる可能性がゼロとは言い切れません。さらに、外部の人間だけでなく、内部の人間が意図的に持ち出す可能性も考えられます。そのような物理的な紛失・盗難は、書類電子化・ペーパーレス化とクラウドストレージ利用を組み合わせることで回避できる可能性が高まります。

    重要なデータは電子化してクラウドに保管するなどのペーパーレス化を推進し、個々の引き出しやパソコンに機密文書や重要書類を保存しない運用を徹底すれば、引っ越しや運搬などの作業過程での紛失を防ぐことができます。
    オフィスの移転時のみならず、災害対策(DR、ディザスターリカバリー)や平素の情報セキュリティ対策としても効果的です。

  • Emotetなどのマルウェアによるなりすましや標的型攻撃メール対策が万全でない

    近年、特に注意すべきマルウェアの一つとしてEmotet(エモテット)が挙げられます。Emotetは情報の窃取だけでなく、更に他のウイルスへの感染を拡大させるために悪用されるウイルスであり、悪意のある者によって、標的型攻撃と呼ばれる不正なメールに添付されるファイルを使って感染拡大を狙うものです。「正規のメールへの返信を装う」内容となっていたり、業務上開封してしまいそうな巧妙な文面となっていることから、うっかり開いてしまう危険性が高く、特に注意とされているものです。

    標的型攻撃(標準型メール攻撃)とは、不特定多数にばらまかれる迷惑メールと異なり、対象となる特定の組織から重要な情報を盗むことを目的に、組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルス付きのメールのことです。従来は府省庁や大手企業が中心に狙われてきましたが、最近では地方公共団体や中小企業もそのターゲットとなっています。

    情報処理推進機構(IPA)が公表した「情報セキュリティ10大驚異 2020」では、組織カテゴリーの1位に「標的型攻撃による機密情報の窃取」が挙げられています。

    新型コロナウイルスの流行によりテレワーク導入が本格化する一方で、セキュリティの手薄なテレワーク端末にさまざまな脅威が直接侵入してくる可能性が高まっているのです。

    Emotetが猛威をふるった2020年後半では、Word形式のファイルが添付されたメールにより拡散しました。ファイルの「コンテンツの有効化」をユーザーがクリックすることで感染する仕組みで、ファイル共有プロトコルを使ってネットワーク内の他のパソコンやサーバーに感染する手口が広まりました。特筆すべき点は、Emotetが生成するメールは、メールのやり取りをしている実在するサービスや知り合いから送信されるだけでなく、感染したパソコン上のメールにアクセスし、メールのやり取り(スレッド)に自然に巧妙な「なりすましメール」として割り込んでくることです。

    こうしたEmotetをはじめとした外部からの脅威を防ぐためには、テレワークやリモートワークで利用するパソコン端末上のセキュリティ対策を強化しておくことが重要です。

    Emotet本体には不正なコードが含まれないことから、見つかりにくいという特徴があり、侵入経路のセキュリティ強化も重要なポイントとなります。サイバー攻撃の巧妙化・複雑化によって、従来のウイルス対策ソフトだけではウイルスの侵入を防ぎきれないという状況が現実のものとなっているのです。

    従来、各パソコン端末にインストールするセキュリティソフトといえば「ウイルス対策ソフト」が中心で、ウイルスの組織内ネットワークへの侵入を外部ネットワークとの境界(ゲートウェイ)で食い止めること、さらに感染した瞬間にそれを検知してウイルスを駆除・隔離する方法が有効だと考えられていました。ウイルスを検知するにはそれぞれのウイルスの特性を把握して作成するパターンファイルが必要となります。パターンファイル作成にはある程度時間がかかるため、最新版が適用されるまでの間に侵入される「ゼロデイ攻撃」が発生する可能性があります。

    これに対し、エンドポイントセキュリティは端末を守ることを主眼にしたセキュリティ対策であり、ゲートウェイでウイルスの侵入が防げなかった場合を想定した複数の機能を備えているのが一般的です。主な機能例は次の通りで、ウイルス検知だけではなく、検知後の隔離や調査、復旧を行うための機能、またデータ窃取された場合でもその悪用を防ぐための暗号化機能などを備えているということです。

    • ネットワーク接続制御、ロケーション認識
    • 不正侵入防止、不正挙動の検知
    • 不正アプリケーション操作、不正接続防止
    • ストレージ 、デバイス、インターフェースなどへのアクセス制限
    • ストレージ ボリューム、デバイス、インターフェースなどへのアクセスを制限
    • データ損失や流出を防ぐデータ分類
    • ウイルスに感染した後の迅速な対応
    • 端末に保存しているデータの暗号化
    • スパムメール対策
    • ID管理
    • ホワイトリストと信頼できるファイルリスト

    ウイルス対策ソフトは入口対策、エンドポイントセキュリティは出口対策だといわれることもあります。企業としてはその両方を導入することでセキュリティ対策をより強化することができるのです。

    加えて、従業員のセキュリティリテラシーを向上させることも同時に行なうことも重要です。標的型攻撃メールでは、添付されているファイルを実行するかどうかが従業員に委ねられます。Emotetの存在や標的型攻撃メールの危険性をしっかりと理解できていれば、安易に添付ファイルを実行することが防げます。システムと人の両面からセキュリティ対策を施し、Emotetのような巧妙なサイバー攻撃に対抗する手段を構築しましょう。

  • 情報セキュリティ用語集

    エンドポイントやゼロトラストセキュリティなど次世代セキュリティに関する用語も掲載!情報セキュリティ用語集(2021年7月1日版)

  • テレワーク導入における『勤怠管理・バックオフィス業務改革』のポイント!

    テレワーク導入における『勤怠管理・バックオフィス業務改革』のポイント!

  • テレワークで増えた総務業務の効率化に役立つ 3つのサービスとは

    テレワークで増えた総務業務の効率化に役立つ 3つのサービスとは

課題解決のヒント・方法

  • アウトソース、外部サービスを利用する

    新型コロナウイルス対策としてテレワーク利用は拡大しています。テレワークは働き方の多様性を受け止め、労働しやすい環境を作る勤務形態として重要な施策ですが、テレワークによるオフィス外労働には、情報漏えいや端末のウイルス感染といったリスクが伴います。

    十分な準備ができずにテレワークを導入した結果、情報セキュリティ対策が追いついていない企業が多いと言われています。高度に情報化・ネットワーク化した現代においては、企業や組織が扱う情報はもちろんのこと、社会システムや私たちの生命・財産まで含めた保護には、官民一体となった対処が求められます。社会を構成する企業・組織の情報セキュリティ強化に対する責務は日に日に大きくなっています。

    企業や自治体などの情報セキュリティ対策は、脅威を想定して情報セキュリティ対策を講じるという考え方に至っていない事が多く、個人情報保護やプライバシー保護についての意識が根付いているとは言い難く、「情報セキュリティ」「サイバーセキュリティ」「デジタルセキュリティ」などセキュリティリスクを表現する言葉は多々ありますが、一般企業・自治体においては技術的・専門的な知識やノウハウがない分野であるためその対策を具体化するのは困難な領域です。

    情報セキュリティ対策は直接の売り上げにつながらないため二の足を踏む経営者も多いと言われますが、一つの企業の情報セキュリティ事故(インシデント)が、当該企業の事業継続性を損ねるだけでなく、社会全体を巻き込む混乱を生じかねません。

    最新の技術を駆使したインターネット・セキュリティ対策を捕捉し続け、安全性・安定性を自ら手当していくことはたいへん難しいため、外部を活用(アウトソーシング)するなどの解決方法が効率的かつ有効と言えます。
    社内のノウハウ不足の補助や限られた人員・予算の有効活用など、アウトソーシングすることで得られるメリットは少なくありません。

    特に中小企業にとってアウトソーシングは、運用業務をサービスとして利用できるというのが最大のメリットです。自社でリソースを抱え込むことなく、外部専門家の知識を活用しながら、ひとり情シスでも負担なく一元管理ができるため、運用コスト軽減にも繋がるのです。

  • 自ら勉強する

    ビジネスにおけるITの利活用は企業の収益性向上に不可欠になっている一方、企業が保有する顧客情報や重要な技術情報等を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。日々新たな攻撃手法が出現しており、適切な対策をとるためには最新の状況を知ることが大前提となります。

    情報セキュリティに関する知識・技能はシステムにかかわる人だけではなく、誰もが必要不可欠なものとなっている今、情報セキュリティ分野の研究者、企業の実務担当者などの専門家から…

    • 近年の情報システムを取り巻く脅威
    • ウェブサイトを狙った攻撃のトレンド
    • ハッカーや攻撃者が狙うウィークポイント
    • ウェブサイトを狙った攻撃のデモ
    • ウェブサイトを安全に運用するためのポイント
    • 具体的なインシデント事例

    …などの知見を得られるオンラインセミナーやオンデマンドセミナーは、企業戦略としてのIT投資や情報セキュリティ投資をどの程度行うかなど、経営層にとっても有効な判断材料になっています。

    新型コロナウイルス感染拡大に伴い、NTT東日本では、インターネット上で視聴できるオンラインセミナーの開催に注力しています。オンラインセミナーは場所を選ばずにお好きなタイミングで、また無料でご視聴いただけるオンデマンド形式となっています。テレワーク関連のセミナーなどトレンドの情報を始め、さまざまなオンラインセミナーをご用意していますので、是非皆さまのビジネスにお役立てください。

  • 他社事例を見る

    個人情報の漏えいは、どのような組織でも起こる可能性があります。組織が引き起こす個人情報の漏えいは、その組織自体に大きなダメージを与えるだけでなく、顧客や取引先、仕入先にも影響を及ぼします。今すぐ対策すべき問題であり、経営者やIT等の担当者は当該意識を持ってビジネスを行う時代となっています。コロナ禍により常態化が進むテレワークやオンラインによるコミュニケーション利用は、きちんとした情報セキュリティ対策を講じていないと情報セキュリティ事故につながるリスクを常にはらんでいると考えなくてはなりません。

    NTT東日本では、官公庁・自治体、大手法人企業、中堅・中小企業さまなど、万全なセキュリティを要するお客さまからのさまざまなご要望にお応えするためのソリューション事例をご紹介しています。

    情報セキュリティ上の脅威に備えるためには、サイバー攻撃の手口や動向はもちろん、自社や自組織が抱えている情報セキュリティ上の課題をきちんと把握しておくことが重要です。業種や業務内容によってリスクとなりうる部分も異なりますので、外部組織や他社の取り組みを参考に、自社・自組織に必要な対策を検証し、優先順位を決めて対策を行いましょう。

    • With/Afterコロナで、企業はどうクラウドを活用しているのか

      With/Afterコロナで、企業はどうクラウドを活用しているのか

    • パートナーさまのビジネス基盤にNTT東日本のアセットを活用!

      パートナーさまのビジネス基盤にNTT東日本のアセットを活用!

  • 情報セキュリティ対策された製品・サービスを利用する

    生産性向上による企業競争力の強化や個人のライフスタイルに応じた柔軟かつバランスのとれた働き方の実現に貢献するだけでなく、地域振興や防災・環境対策、雇用創出等にも大きなインパクトを与える可能性を秘めたテレワーク。働き方の多様化にともない、モバイル利用が急速に進む中で、安全なテレワークがこれまで以上に求められるようになっています。これまでオフィスで働いていた従業員に対してもリモートワークが求められるようになっている今、テレワークを迅速かつ安全に実現させる必要があります。

    テレワーク業務では社内システムと接続する必要があり「VPN」を使った接続方法が最も普及しているようです。VPNに接続した端末は社内ネットワークの一部と認識されるため、社内システムに直接アクセスできるとともに、既存の社内ネットワークセキュリティによる多層防御も有効になりますが、マルウェア感染等が発生した場合には「インシデント調査」が困難になるケースもあります。

    これまでの組織における情報セキュリティ対策の中心は複数のツールを組み合わせ防御層を層ごとに用意する対策「多層防御」をベースとしており、ネットワークに接続されたパソコンやPDA、携帯電話などのネットワーク端末を意味する「エンドポイント」での対策はあまり普及していませんでした。テレワークが常態化し、オンラインでのコミュニケーションのビジネス重要性が増している現在ではエンドポイントのセキュリティレベルを高める必要性が高まっています。

    テレワーク導入は柔軟な働き方を実現するものですが、必ず情報セキュリティリスクを伴います。安全なテレワーク環境を構築するには、万全な情報セキュリティ対策が不可欠です。マルウェア感染を防ぐために情報セキュリティソフトを導入したり、IDとデバイスの管理を行い会社が許可した端末を厳格に認証しすることで社外からの不正アクセスをシャットアウトしたりといった対策が必要です。

    • 情報セキュリティ用語集

      エンドポイントやゼロトラストセキュリティなど次世代セキュリティに関する用語も掲載!情報セキュリティ用語集(2021年7月1日版)

    • クラウド関連事例

      クラウド関連事例

      「クラウド関連」の導入事例資料をまとめてダウンロードできます。

    • テレワーク時代に知っておくべきクラウドサービス利用の注意点とセキュリティ対策

      テレワーク時代に知っておくべきクラウドサービス利用の注意点とセキュリティ対策

  • 管理された業務専用端末を貸与する

    テレワークでの課題のひとつがアクセス制御と利便性の両立です。
    例えば、社外からさまざまなネットワークやシステムにログインする必要があるために、それぞれに割り当てられるID/パスワードが多くなると、作業環境へのアクセスや情報管理が煩雑になります。その場合は、SSO(シングルサインオン)の導入が有効です。ID/パスワードを統合することによって、従業員の業務ストレスが軽減されるだけでなく、管理者の側でもアクセス権限などの制御がしやすくなります。 あるいは、重要なシステムへのアクセスは従業員端末のIPアドレスを登録し、限られた者だけ使用可能とするなどの対策も有効でしょう。

    情報セキュリティ事故を未然に防ぐ対策はもちろん、事故が起きた際に影響を拡大させないため、日頃からインシデント発生に備えることも重要です。まずは発生後の連絡ルートなどの整備、また不審な挙動を検知するシステム導入などの準備が必要です。遠隔での端末管理の可能なツールの導入も検討すると良いでしょう。
    たとえばEDR(Endpoint Detection and Response)と呼ばれる、インシデント発生を前提としたソリューションがあります。インターネット接続していれば、クラウドサービスへのアクセスログデータをもとに不審な端末を隔離することが可能です。アクセスログにより、攻撃がいつ・どこで発生したのか、誰が何をしたことによって生じたのか、などを記録し分析することで、事故原因を明らかにすることができます。

    情報セキュリティの脅威への対応が取れる点から、社員のパソコンをモニタリングするサービスの需要も高まっています。 モニタリングすることで、以下のような対策を取ることができます。

    1. 内部不正対策

      業務に無関係なソフトウェアを利用していないか、会社の機密情報の含まれるファイルが不正に流出していないかの監視

    2. テレワークでの勤怠管理

      パソコンの起動/終了時刻を記録

    3. アクセス監視

      情報セキュリティ脅威となるページへのアクセスを抑制

    勤怠管理や在籍の確認のため、という目的もありますが、その場合は社員との信頼関係の維持のためにも導入には配慮を欠かさないようにしましょう。個人情報への留意が求められます。

  • コミュニケーションツールを導入する

    急速なテレワークの普及により、業務スタイルが強制的に変化しました。オフィスで顔を合わせて業務を行うこれまでとは異なり、オンラインではコミュニケーションが取りにくいと感じることも多いでしょう。
    そんなときは、コミュニケーションツールを活用しましょう。さらに以下のようなルールを検討し、コミュニケーションの活性化を図ります。

    • スケジュールや進捗を定期的に共有する。
    • チャットなどでは相手に伝わりやすい表現を心掛ける。
    • 雑談できる環境を用意する。

    オンラインのコミュニケーションには、ツール選びや、安定したネットワーク環境も重要です。NTT東日本では、導入後のサポートも含めて総合的にご相談を受け付けております。

  • デジタルアーカイブ、オンラインストレージを利用する

    オフィスの縮小移転やオフィス内のスペースを確保するために紙媒体の資料を電子化して保管する「デジタルアーカイブ」という方法を取り入れるのはいかがでしょうか。

    紙資料を電子化する際は次のようなステップで進めてみてください。

    1. 社内で保管されている紙媒体の資料の種類や分量を把握します。
    2. 電子化した書類の保存方法や管理方法、運用方法などの社内ルールを検討して策定します。
    3. 電子化するツールの検討や導入を行います。
    4. 不要な書類と電子化する書類に分類します。
    5. 不要な種類は廃棄して、電子化する書類は電子化して保管します。

    デジタルアーカイブにすることで、オフィス移転後の社内スペースの確保や、書類の検索スピードの向上により業務効率化を図ることもできます。

    電子化したデータを従業員がさまざまな場所で業務利用する場合、必要なデータを共有する方法の1つとして、クラウドサービスを利用する方法があります。クラウドサービスとは、インタネット上にデータを保存するサービスです。サービス提供者のストレージにログインすることでファイルにアクセスすることができます。ファイルが自動更新され同期することができ、常に最新のデータにアクセスすることができます。また、複数のパソコンやモバイル端末からデータにアクセスできるので、同じファイルを複数人で共有しながら、同時に閲覧、編集も可能です。
    いくつかの企業がクラウドサービスを提供していますので、保存できる容量や金額、情報セキュリティ面などの安全性を比較して、自社の状況にあったサービスを選ぶと良いでしょう。

  • 社内ルールを徹底する

    テレワークを進める際には、業務環境や作業ルールについて社内で取り決め・再確認をすることが必要です。

    会社情報の持ち出し
    紙資料や、社内システムにつながることのできる端末など、持ち出し管理簿を付けるなどきちんと管理しましょう。
    テレワークでの端末利用ルール
    会社貸与の端末を利用させるか、個人の端末を利用するか(BYOD Bring Your Own Device)に関わらず、安全の確保されたネットワークに接続させることや、会社の許可したアプリケーションのみを利用することを定めることにより、情報セキュリティ事故を防ぎます。特に個人の端末を利用する場合には、行ってよい業務の範囲を定めることも重要です。
    情報保存のルール
    VPNを使用している場合、接続するユーザ数によって通信速度が遅くなる可能性があります。作業が進まない時に個人の利用端末に社内の資料を保存して作業している方がいるのではないでしょうか。社内の端末のような意識で、情報セキュリティ対策を万全に行っていない個人の端末に社内の機密情報を保存して作業することが、情報漏えいに繋がる危険性は非常に高いものです。社内ルールを策定して社員の意識付けを行うことが大切です。
    企業が把握せずに社員が利用してしまうシャドーITの対策として重要なのは、まず情報セキュリティ担当者が組織全体を俯瞰して状況を把握することです。ヒアリングやアンケートにより業務実態を確認するなどし、それを踏まえて以下のような対策を組み合わせながら管理を進めると良いでしょう。
    教育
    社員にシャドーITの危険性を周知し、認識してもらいます。リスクを知らないがために、会社に無断でシャドーITを利用することが多く、まずはどんなリスクがあり、どのような事態を引き起こすのかを知ってもらいます。
    ガイドラインの作成
    利用範囲など条件を定め、クラウドサービスなどの利用を許可します。
    監視サービスの導入
    アクセスの監視サービスとして注目されるのがCASB(キャスビー、Cloud Access Secuirty Broker)です。社外ネットワークからクラウドサービスへのアクセスや、社内ネットワークから個人の契約するクラウドサービスへのアクセスを監視・モニタリングします。
  • ネットワークを見直す

    VPNは情報セキュリティを向上させるために導入されてきましたが、脆弱性対策を行っていないと、かえって危険な装置となってしまいます。VPN装置への攻撃に関する事件も発生しており、事の重大さを突き付けられています。
    日頃から脆弱性のある機器がないかを確認したり、アップデートを行うことはもとより、外部からの攻撃を受けていないかを確認することも必要です。
    本来は情報セキュリティ強化のためのVPNですが、それゆえに被害にあったときの打撃は大きいものです。会社の機器だけでなく、自宅の機器も危険が潜んでいると疑い、アップデートを怠らないようにしたいものです。

    一般的なインターネット回線を使用したVPNを導入する場合、導入のコストを安く抑えられますが、社外に機密情報が漏えいするリスクが伴います。情報セキュリティ対策用ソフトをインストールしたり、ファイアーウォールを設置したり、不正アクセスを監視するなど、さまざまな方法で情報セキュリティ対策を実施する必要があります。一方、専用回線を使用するIP-VPNは、安全性や安定性を担保することができますが、コストが高くなります。そのため、VPNを導入する際には、安全性や安定性など情報セキュリティの対策面で選定すると同時に、運用後に必要となるコストや稼働を見据えて導入する必要があります。また、現在VPNを導入している企業でも運用面でのコストや稼働を考慮して、ネットワークの見直しを図る必要があるかもしれません。そのような場合は、VPNを導入している企業やネットワークの見直しを行った企業の事例を参考に自社のネットワークについて検討してみてください。

  • VPNサービスを利用する

    新型コロナウイルスのまん延により、テレワークでのWeb会議の機会が増えています。コミュニケーションが対面からカメラとマイクを使ったWeb会議へと変化しました。自宅からWeb会議に参加する場合でも、声による情報漏えいが懸念されます。公共の場ではないので大丈夫だろうと油断して大声で話していたら、自宅の外にその声が漏れてしまうという事象も発生しています。どこで誰が聞いているかわかりませんので、十分に留意しましょう。

    Web会議に参加するにあたり、自宅から無線LAN(Wi-Fi)を利用している方も少なくないでしょう。Wi-Fiのアクセスポイントを暗号化するのはもちろんのこと、仮想的なインターネット上のその会社に閉じたネットワークであるVPNを使えば、安全に会社のネットワークに接続することもできます。
    自宅にある手元の端末だけでなく、会社のネットワークに接続する手段もしっかり情報セキュリティを確保しておくことで、社員同士が安心してWeb会議等のコミュニケーションを図ることができるようになります。

  • ネットワーク、端末を監視する

    ネットワーク上にある機器の脆弱性を放置すると、踏み台やバックドアに悪用される場合があります。安全なテレワーク環境のために、以下のような不正アクセスを防ぐ対策を徹底するとともに、万一の不正アクセスになるべく早く気づき、被害を最小限に食い止めるようにしましょう。

    不正アクセスを防ぐ方法

    • OSやソフトウェアを最新版にアップデートする
    • 情報セキュリティ対策ソフトをインストールする
    • 許可されていないソフトウェアをダウンロードさせない
    • ファイアーウォールを設置する
    • 社員に貸与している端末を管理する
    • パスワードを端末やブラウザ等に保存しない
    • パスワードを使い回さない
    • パスワードを二要素認証にして強化する

    不正アクセスに気が付く方法

    • 情報セキュリティ対策ソフトでウイルス感染の有無を把握する
    • アカウントのログイン履歴を確認する
    • クレジットカードやネットバンキングなど不正な利用がないか履歴を確認する

    アクセスする端末を適切に管理することも有効です。利用者を認証するシステムを導入したり、アクセス方法を限定する方法があります。

    業務に無関係なWebサイトの閲覧などにより、端末がマルウェアに感染する場合もあります。社外へ持ち出して使用する端末にも、Webフィルタリングサービスを使用すると安心です。閲覧可能なページをホワイトリストとして登録しておけば、不用意なWeb閲覧で端末内の情報や社内ネットワークを危険にさらすことを防ぐことができます。サービスによっては、端末のアプリケーションを管理する機能や、端末でのネットワーク利用をリモート監視する機能を備えているものもあります。自社に必要な機能を検討し、導入すると良いでしょう。

おすすめのソリューション

まとめ

コロナ禍による急激な市場変化によりビジネス環境は多様化・複雑化しており、情報セキュリティ対策もそれにあわせて多様化していくことが求められます。取り組むべき働き方改革やDX(デジタルトランスフォーメンーション)を推進するためにも情報セキュリティ対策は重要な経営課題となっています。手口の高度化・巧妙化が進むサイバー攻撃から企業情報を守るためには、常にセキュリティトレンドへの注意を払わなければなりません。

サイバー攻撃と情報セキュリティ対策は、イタチごっこの関係にあり、完全に防御することは難しいとされています。もはやウイルスの侵入を前提条件として、被害をいかに防ぐかを考えていくべき時代と考えるべきかもしれません。人間がウイルス感染を防ぐ際にマスクや手洗い・うがいを徹底するように、企業においても情報セキュリティ対策が正しく適用されているのかといった「衛生管理」に取り組むべき時代と言えます。

従来型セキュリティでは十分な安全性を保証しきれなくなってきたことから、「エンドポイントマネジメント」や「ゼロトラストセキュリティ」、「サイバーハイジーン」などの新しい情報セキュリティの考え方は、テレワーク常態やクラウドサービス利用が前提となるこれからの情報セキュリティ対策で、今後ますます主流になっていくはずです。

新しい情報セキュリティ対策への取り組みに不安を感じる方は多いと思われますが、事前にしっかり理解し、準備しておくことにより、後のリスクを最小限に抑えることが可能です。今すぐに導入するわけではなくても、今後の情報セキュリティ対策の立案・検討が必要と感じられたら気軽にご相談ください。

DX(デジタルトランスフォーメンーション)

企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立することです。

エンドポイントマネジメント

パソコンやサーバーなどの端末に「エージェント」と呼ばれるソフトウェアをインストールし、エージェントが異常を検知した場合、端末をネットワークから隔離することで、企業のネットワークを保護するというセキュリティ・マネジメント手法です。

ゼロトラストセキュリティ

「トラスト(信頼)がゼロ」、つまり何も信頼しない情報セキュリティ対策の考え方で、社内ネットワークからのアクセスだから安全などと信頼するのではなく、どこからのアクセスであろうと全て検証することで安全性を担保するというものです。

サイバーハイジーン

平時のセキュリティ対策による脆弱性の徹底的な排除を目的としており、一般の衛生管理と同じように社内のIT環境や個人のパソコンやインターネット接続環境を健全な状態に保つことを組織や社員一人ひとりに推奨し、セキュリティ意識を醸成する取り組みです。

無料で資料をダウンロードできます!

ページ上部へ戻る

ページ上部へ戻る