悩み(18) テレワーク導入等の急激な環境変化に対応したセキュリティ管理規程に見直したい
t社はテレワーク等で柔軟な働き方を推進する一方で、オフィス内での勤務を前提に設計した情報管理ルールが形骸化しているのではないかと危惧していた。
基本情報
t社の状況
- ある県庁所在都市を拠点とした物件を扱う県内大手の不動産事業者。
- 書面で扱うことが必要又は適切な場合を除き、業務文書のペーパレス化を推進中。
- コロナ禍による緊急事態宣言発令前は顧客情報を扱う観点からテレワークを認めていなかったが、現在はVPNの利用を前提に在宅勤務を併用。
- 在宅から秘密情報の参照・編集を行うことも容認している。
t社のプロフィール
| 業種 | 不動産業 | |
|---|---|---|
| 規模 | 800人 | |
| 管理 体制 | CISOの有無 | 有(CIOが兼任) |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | 情報システム部 | |
セキュリティ担当者の問題・悩み
テレワークの導入を機に在宅勤務だけでなく、不動産物件への往訪の多い営業担当者が外出先から会社支給のモバイルPC端末を用いてVPN経由で社内サーバ上の文書にアクセスできるようにした。
担当者からは好評ではあるが、個人情報等の秘密情報の管理に関して、自社の情報管理ルールでは社内の施錠可能なキャビネ又は社内ファイルサーバーに保管することを前提に、業務上必要最小限の範囲で持出しを許可するとしていたところ、テレワーク環境ではその前提が崩れてしまっている。一方で、テレワークの実践を通じて、電子データとして管理している秘密情報は、適切に管理すれば印刷物よりも保護しやすい面もあると感じている。
取組(18) 新しい働き方に相応しい情報管理ルールを整備し、安全性と利便性を両立させる
解決に向けたアプローチ
t社のCIOは、自社内での新しい働き方を踏まえたアプローチとして、試行を通じて事業への影響がないことを確認した上で、次のようなサイバーセキュリティ対策を講じることに関する経営者の承認を得た。
- 保護すべき秘密情報について、クラウド上に構築した自社ファイルサーバーに暗号化されて保管されている状態を標準とし、各文書の所有者(オーナー)、アクセス権限の付与手順、開示範囲等のルールを明確化。
- テレワーク環境等から文書アプリケーションを通じて直接その読み書きを行う場合、持出等の手続は不要とした。自宅での秘密情報の印刷は特別に許可された場合を除き禁止とした。
- リモートアクセスにおいて2要素認証(電子証明書、ワンタイムパスワード)を必須とするとともに、認証ログにおいて通常と異なる挙動(異常な時刻やアクセス先URL等)を不審なものとみなして自動的に検知し、警告が通知されるようにした。
- 公開資料を参考に、VPNを経由せずテレワーク端末から直接クラウドサーバを利用するルールを整備し、安全性と利便性の双方を担保した。
テレワークによる情報管理上のリスクとt社が実施した対策
| 主なリスク | 左記リスクに対する対策方針 |
|---|---|
| 文書管理サーバに対する不正アクセス |
|
| 従業員が利用するPCからの漏えい |
|
| 通信ネットワーク経由の漏えい |
|
得られた知見
情報管理はあくまでセキュリティを確保するための手段であり、働き方が変化した以上はそれに見合った方法に見直す必要がある。
管理する側の都合を押しつけるのではなく、従業員が快適に利用できる環境の整備や使い勝手に配慮することで、情報管理に積極的に協力してもらえるような関係構築ができた。