在宅勤務のセキュリティ対策、はじめの一歩
持ち帰り仕事のリスクの減らし方
株式会社トライコーダ
上野 宣
2011/7/5
守るべき情報に基づいて持ち帰り可能な仕事を「仕分け」
毎年いくつかの団体が発表している情報セキュリティインシデントに関するレポートなどを見ると、仕事や業務データを持ち帰ろうとしたとき、紛失や誤送信してしまう確率は低くありません。また、自宅などからの情報漏えいの可能性も決して無視できるものではありません。
つまり、「情報は漏えいしてしまう可能性がある」という前提を立てて、持ち出し禁止の「絶対に漏えいを防ぐべき情報」を切り分けるべきです。具体的には以下のような情報が該当します。
■絶対に漏えいを防ぐべき情報
- 顧客情報や顧客の機密情報、個人情報
- 自社に大きな損害を与える情報など
持ち帰ることが許可されていない業務データ(仕事)を扱う場合には、在宅勤務ではなく、会社に出社して仕事することとなります。そして、上記以外の情報については、安全策を取れば持ち出し可能なものとします。
具体的には、機微な情報でも、企画や設計、営業情報、プログラムなど直ちに現金化が難しいものは、安全策を取ることによって持ち帰り可能と考えます。この切り分けは、リスクを加味して判断する必要がありますので、会社によって異なるでしょう。
第1段階では、こういった持ち出し可能な情報を扱う仕事のみを在宅勤務可能とするべきです。
| 【関連記事】 自宅作業時のセキュリティを考える(@IT Security&Trust) http://www.atmarkit.co.jp/fsecurity/rensai/talk19/talk01.html |
仕事を持ち帰る際のリスクを減らすために
仕事を持ち帰る際の安全策には下記があります。この対策は、情報をまったく漏らさないためのものではなく、そのリスクを減らすものだということを知っておきましょう。
- 安全なデータの搬送手段
- 持ち出したデータの把握
- データの消去
 |
| 図3 仕事を持ち帰る際の安全策 |
■安全なデータの搬送手段は暗号化
データ自体が漏えいしたり、媒体ごとなくなってしまったりと、データが漏えいする可能性はなくすことができません。データの搬送手段を安全にするには、データを暗号化することで、万が一漏えいしても内容を読み取れないようにすることが必要です。
このとき使う暗号アルゴリズムは、AESなど安全なものにする必要があります。そして、鍵自体の安全な管理や、推測困難なパスワードを使用することも重要になります。
当然、紙媒体では暗号化を利用できません。在宅勤務の場合にはペーパーレスにする方が望ましいでしょう。
ここで注意してほしいのは、データの暗号化と暗号化通信(HTTPSやVPNなど)は違うものだということです。暗号化通信はデータを送る経路を暗号化することで、盗聴や改ざんなどを防ぐ役割を担います。そして、データ自体を守るためには、データの暗号化が必要になります。
たとえば、クラウド上のサービスをHTTPS経由で使っている場合、通信経路は安全だったとしても、エンドポイントとなるクライアントやサーバ側からデータが漏えいしてしまう可能性があります。これを防ぐためにはデータ自体の暗号化が必要です。
■持ち出したデータの把握
誰が、いつ、どこから、何のデータを、どうやって持ち出したかを把握することが必要です。
これは、持ち出し禁止の情報が持ち出されていないかのチェックという意味もありますが、情報漏えい事故が起こってしまった後の証拠としての意味の方が重要です。そのためには下記の情報を記録しておく必要があります。
- ローカルファイルやファイルサーバへのアクセス
- メディアへの書き込み
- インターネットへの送信など
これらは手作業で管理するのではなく、アクセスログなどを自動的に取得できる方が効果的です。
■確実なデータ消去
自宅PCやUSBメモリなどにコピーしたデータから情報が漏えいする可能性もあります。データを利用している最中はもちろんですが、削除した後や媒体を破棄する際にも注意が必要です。
一度書き込まれたデータは、ゴミ箱を空にしても、フォーマットしても復元可能な場合があります。しかもその作業は、特に専門家である必要はなく、誰でもフリーソフトなどで復元できてしまうのです。
破棄した媒体や削除したデータの復元を防ぐためには、下記の対策が必要となります。
- データの確実な削除を行うことができるソフトや破壊するサービスの利用
- データを保管するドライブなどを暗号化してから利用する
さらに安全性を高めるならば第2、第3段階へ
この記事では、在宅勤務を3つの段階に分け、第1段階におけるセキュリティ対策として、持ち帰り可能な仕事を切り分け、そして持ち帰りのリスクを減らすことについて説明しました。この方法は多大なコストが不要で、いますぐ取りかかれる方法です。しかし、これでは仕事の一部しか持ち帰ることしかできません。
在宅勤務の環境は、会社に比べると安全ではないことがほとんどです。そして、情報漏えいの可能性をある程度以上減らすのは、簡単なことではありません。
従って、さらなる安全を求める場合には、在宅勤務の第2段階(職場環境の遠隔利用)、第3段階(在宅勤務環境への移行)へと進めていくことになります。会社でリスク管理できない要素を減らしていき、より安全な環境を構築することが必要です。そのためには、ある程度コストを投じなければならないでしょう。
 |
2/2 |
| Index | |
| 在宅勤務のセキュリティ対策、はじめの一歩 持ち帰り仕事のリスクの減らし方 |
|
| Page1 「安全な在宅勤務」までの3段階の道のり そもそも在宅勤務の節電効果はどのくらい? 私物までリスク管理の対象にするのは困難 |
|
 |
Page2 守るべき情報に基づいて持ち帰り可能な仕事を「仕分け」 仕事を持ち帰る際のリスクを減らすために さらに安全性を高めるならば第2、第3段階へ |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
