コロナ禍によって、強制的にテレワークをせざるを得なくなった企業にとって最大の心配事は情報セキュリティだと思います。
①ノートPCや紙の書類遺失・盗難による情報漏洩
②Wi-Fiの盗聴による情報漏洩
③マルウェア感染
④社内システムをインターネットに開放したことによる不正侵入
⑤パブリッククラウドからの情報漏洩
⑥SNSでの情報漏洩
などなど、心配は色々とあります。
三菱重工は、名古屋地区のネットワークが第三者による不正アクセスを受けたことを発表しました。(機密性の高い技術情報、取引先に係る重要な情報の流出はなかったそうです。)
https://www.mhi.com/jp/notice/notice_200807.html
これは、会社所有のノートPCを従業員がテレワークのために持ち帰り、そのノートPCでSNSを使って何かのファイルをダウンロードしたところ、そこのマルウェアが含まれていたようです。次にそのノートPCを会社へ出社して社内ネットワークに接続した際に社内ネットワークを経由して感染が広がったとのことです。そのマルウェアが起因となって社外からの侵入を許してしまいました。
三菱重工としては社有のノートPCがインターネットへ直接つながるようになっていたことが大きな問題だったと考えているようで、対策として、社有のノートPCが直接インターネットにつながらないように設定したようです。自宅で社内PCを使ってインターネットに接続するには、必ず一旦社内のネットワークにVPN接続し、そこからインターネットに接続するということですね。こうすれば、社内にいるときと同じようにUTMなどの総合的な情報セキュリティシステムによって守られるからです。そもそもSNSにアクセスしたり、ファイルをダウンロードしたりできないようになっているかも知れません。
こうした仕組みを持たない企業が同じような被害にあわないようにするためにはどうすれば良いでしょうか。
色々と対策方法はあると思いますが、まずはルールを決めて、従業員へ周知するのが第一歩です。これまでに情報セキュリティ関連規程を作っている企業であっても、テレワークに関する取り決めはしていない場合が多いようです。
IPAの情報セキュリティマネジメント指導事業においても、昨年はなかった内容として、今年からテレワークの情報セキュリティを扱うこととなっています。