新型コロナウイルスの感染拡大及び緊急事態宣言の発令に伴い、多くの企業・組織でテレワークを実施していると思います。そのため、端末や外部記憶媒体を家に持って帰ったり、それまで許可していなかった私物端末の業務利用を一時的に許可したりして対応しているのでないでしょうか。
しかし、一般家庭におけるネットワーク環境は、企業・組織などのオフィス内のネットワーク環境と比較すると、外部からの攻撃に対してセキュリティ対策レベルが低いと考えられます。政府の緊急事態宣言の解除に伴い、順次、テレワークから通常のオフィス勤務に戻っていく際に、仮に自宅でマルウェア等に感染してしまった端末や外部記憶媒体を無防備に企業内ネットワークに接続してしまうと、企業内でマルウェア感染が拡大してしまう事態が懸念されます。また、今回の強引なテレワークの実現により、企業・組織におけるオフィス勤務の必然性を見直す好機となったことから、これからの業務のやり方、働き方の見直しが行われるのではないでしょうか。
そこで、JNSA社会活動部会では、今後、社会活動が新型コロナウイルスと共存するという前提の中で、各企業・組織における働き方や、セキュリティ上で留意すべき点を、チェックリスト形式でまとめました。ぜひご活用ください。
緊急事態宣言解除後のセキュリティ・チェックリスト「解説書」 ダウンロード(PDF:639KB)【2020/6/12 追加】
緊急事態宣言解除後のセキュリティ・チェックリスト ダウンロード(word:16KB)
1.停止したシステムの再稼働における注意事項
長期間停止していたシステムの動作確認を行う
長期間停止していたシステム構成機器のセキュリティ対策の最新化を行う
(OS・ソフトウェアの最新化、アンチウイルスソフト定義ファイルの最新化等)
長期間停止していたシステム構成機器のセキュリティ対策の最新化を行う
(OS・ソフトウェアの最新化、アンチウイルスソフト定義ファイルの最新化等)
2.テレワークで社外に持ち出した機器を社内NWに接続する際の注意事項
持ち出した機器(端末や外部記憶媒体等)が紛失していないか棚卸し確認する
端末のセキュリティ対策が最新化されているか確認する
(OS・ソフトウェアの最新化、アンチウイルスソフト定義ファイルの最新化等)
持ち出した機器(端末や外部記憶媒体等)がマルウェアに感染していないか確認する
無許可のソフトウェアがインストールされていないか確認する
テレワーク期間中に、社内システムに不正アクセスされていないかログ等を確認する
社内NWに接続した端末から不審な通信が行われていないか監視を一定期間強化する
端末のセキュリティ対策が最新化されているか確認する
(OS・ソフトウェアの最新化、アンチウイルスソフト定義ファイルの最新化等)
持ち出した機器(端末や外部記憶媒体等)がマルウェアに感染していないか確認する
無許可のソフトウェアがインストールされていないか確認する
テレワーク期間中に、社内システムに不正アクセスされていないかログ等を確認する
社内NWに接続した端末から不審な通信が行われていないか監視を一定期間強化する
3.緊急措置としてテレワークを許可した業務やルールを変更した業務の扱い
緊急措置として許可した私物端末利用(BYOD)の利用実態について確認する
(私物端末のセキュリティ対策やマルウェア感染の有無、私物端末に保存されていた業務関連資料の削除確認等)
緊急措置としてテレワークを許可していた業務やルールを変更した業務のリスクを再評価する
再評価により、リスクが許容できると判断された業務については、引続きテレワークを継続すべく、
必要に応じてセキュリティポリシー等の改訂を行うことを検討する
再評価により、リスクが高いと判断された業務については、一旦元の運用に戻し、
テレワークができる手段を検討したうえで、テレワークの可否を判断する
(私物端末のセキュリティ対策やマルウェア感染の有無、私物端末に保存されていた業務関連資料の削除確認等)
緊急措置としてテレワークを許可していた業務やルールを変更した業務のリスクを再評価する
再評価により、リスクが許容できると判断された業務については、引続きテレワークを継続すべく、
必要に応じてセキュリティポリシー等の改訂を行うことを検討する
再評価により、リスクが高いと判断された業務については、一旦元の運用に戻し、
テレワークができる手段を検討したうえで、テレワークの可否を判断する
4.Withコロナフェーズに向けた、業務見直しとセキュリティ対策
第二波など緊急事態宣言の再要請に備え、業務移行の手順、必要なサービスを整理する
テレワークにより負荷が集中した従業員や業務の洗い出しと対応の見直しを行う
テレワークにより負荷が集中したサービスの洗い出しと対応の見直しを行う
テレワークにより業務効率が下がった業務の洗い出しと対応の見直しを行う
テレワークにできなかった業務の洗い出しと今後の対応について検討する
脱押印のためのオンラインワークフローや電子署名サービスの導入について検討する
社内業務だけでなく、顧客や外部委託先との契約上、テレワーク化することができない 業務やサービスについて、
テレワークができる手段を検討し、顧客や外部委託先と協議の上、 必要に応じて契約条件の見直しを検討する
今までのIT投資やセキュリティ対策の優先順位を見直し、 テレワークを前提とした社内IT投資やセキュリティ対策について検討する
テレワークを前提としたシステム構成管理やログ設定の見直しを行う
クラウドサービスや社内外で安全かつシームレスに業務を実施するための ゼロトラストネットワークの導入を推進する
テレワークを前提としたセキュリティインシデント発生時の体制や対応について 再検討を行うと共に、そのための教育や訓練を行う
これを機会に、リスクの再評価を行い、セキュリティポリシーにおいて形骸化した項目を 見直すと共に、
社員等への周知やセキュリティリテラシーの向上を行う
テレワークにより負荷が集中した従業員や業務の洗い出しと対応の見直しを行う
テレワークにより負荷が集中したサービスの洗い出しと対応の見直しを行う
テレワークにより業務効率が下がった業務の洗い出しと対応の見直しを行う
テレワークにできなかった業務の洗い出しと今後の対応について検討する
脱押印のためのオンラインワークフローや電子署名サービスの導入について検討する
社内業務だけでなく、顧客や外部委託先との契約上、テレワーク化することができない 業務やサービスについて、
テレワークができる手段を検討し、顧客や外部委託先と協議の上、 必要に応じて契約条件の見直しを検討する
今までのIT投資やセキュリティ対策の優先順位を見直し、 テレワークを前提とした社内IT投資やセキュリティ対策について検討する
テレワークを前提としたシステム構成管理やログ設定の見直しを行う
クラウドサービスや社内外で安全かつシームレスに業務を実施するための ゼロトラストネットワークの導入を推進する
テレワークを前提としたセキュリティインシデント発生時の体制や対応について 再検討を行うと共に、そのための教育や訓練を行う
これを機会に、リスクの再評価を行い、セキュリティポリシーにおいて形骸化した項目を 見直すと共に、
社員等への周知やセキュリティリテラシーの向上を行う