第06回　2021.02.25 / 最終更新：2021.02.25

テレワーク用のセキュリティガイドラインを作ろう

こんにちは。阿佐美　空（あさみ　そら）です。

Facebookアカウントの乗っ取りが横行しています。Facebookのお友達が2000人近くいる私はこの数日間で10名以上のお友達のアカウントが乗っ取られています。

 

その手法は以下です。

・Facebookのお友達から「この動画に出てるわよ」「この動画見て」のような動画のリンクが送られてくる

・その動画を見たアカウントのID/PWが抜かれてしまう

・二重認証をしていないアカウントはパスワードを変更されてしまい、乗っ取られてしまう。

 

動画を見ただけでID/PWを盗み取られてしまうなんて怖いですよね。

サイバー攻撃で怖いのは情報を取られた方も気が付かずに、気が付いた時には大きな影響が出ているという点です。

 

このFacebookの事象におけるガイドラインは以下だと思います。

・不用意に動画や画像を開かない

・SNSアカウントは二重認証を行うこと

 

Facebookアカウントが乗っ取られると、その方が管理している企業用のページも乗っ取られるので、かなり注意が必要です。

会社のアカウントが乗っ取られると大きな問題になります。

 

テレワークの場合は、比較定期安全な社内ではない場所からのアクセスになります。

 

外部の接続機器やネットワーク機器を介して情報が漏えいされることがあります。

 

会社支給の端末や会社の情報が入っているスマートデバイスが使用するサービスに制限をかけるか、使用する場合のセキュリティガイドラインを作ることを推奨します。ガイドラインにくいわえて、チェックリストを作り、年に一回実施しているかどうかのアンケートを実施して、実施していない場合は指導を行うような体制が必要なのではないかと思います。

 

予算が付けられる企業であれば、会社支給のデバイスでの接続先サービスのチェック、セキュリティ対策の実施度チェックを全て人工知能でチェックさせるくらいの徹底をしても良いと思います。技術的にはできると思います。

 

ちなみに平成30年なので少し古いですが、総務省よりテレワーク用のセキュリティガイドラインが公開されています。この街路ラインにはチェック項目も記載されているので、政府刊行のガイドラインとしてはかなり実践的な部類に入ると思います。

 

総務省「テレワークセキュリティガイドライン」

https://www.soumu.go.jp/main_content/000545372.pdf

 

ここで重要なのはガイドラインはあくまでガイドラインです。また会社の守り方も業種によって違ってきます。さらにはセキュリティを意識すること自体も防御の一環です。

そこで是非実施していただきたいのは、このガイドラインを参考に、自社が実施する場合はどうするべきかを議論し、自社のテレワーク用のセキュリティガイドラインを作ることです。この検討チームを立ち上げ、毎年、毎半期ごとに情報を更新していくことです。

 

それにより、自社にフィットした防御ができるようになりますし、自社のセキュリティ人材の育成にもなります。

興味がある方は是非実践してみてください。

 

それでは今日はこの辺で。