Upgrade to Pro — share decks privately, control downloads, hide ads and more …

リモートワークで押さえるべきセキュリティリスクと対策 
/ RemoteWorkerAssociation-security

リモートワークで押さえるべきセキュリティリスクと対策 
/ RemoteWorkerAssociation-security

新型コロナウイルスの感染拡大を防ぐために、リモートワークを導入する企業が増えています。

多くの方々がリモートワークに挑戦しているものの、どうやって企業に導入したら良いのかわからなかったり、不必要な懸念に駆られて導入できないという声を多数お聞きしてきました。

リモートワークをスムーズに導入・運用するためには、正しい知識が必要です。キャスターでは、リモートワークにおけるセキュリティについて、リモートワーカー協会の資料の監修をいたしましたので、お役立ていただければ幸いです。

株式会社キャスター
https://caster.co.jp/

<報道関係者の皆様へ>
現在、リモートワークの導入を検討している企業様が増加しております。
多くの企業様がスムーズにリモートワーク導入を進め、働き手も新しい働き方に戸惑うことがないよう、当社の経験やノウハウを提供してまいりますので、ぜひご取材ください。本資料の内容に加えて、以下のような情報提供が可能です。
http://bit.do/casterpr

キャスター

March 12, 2020
Tweet

More Decks by キャスター

Other Decks in Business

Transcript

  1. Copylight © Caster Co.Ltd. All rights reserved.
    リモートワークで押さえるべき

    セキュリティリスクと対策

    2020年3月12日


    リモートワーカー協会


    View full-size slide

  2. Copylight © Remote Worker Association All rights reserved.
    2
    ホワイトペーパー公開の背景

    新型コロナウイルスの感染拡大を防ぐために、

    リモートワークを導入する企業が増えています。


    多くの方々がリモートワークに挑戦しているものの、

    どうやって企業に導入したら良いのかわからなかったり、

    不必要な懸念に駆られて導入できないという声を多数お聞きしてきました。


    リモートワークをスムーズに導入・運用するためには、正しい知識が必要です。本資料
    では、リモートワークにおけるセキュリティについてまとめましたので、お役立ていただ
    ければ幸いです。


    ホワイトペーパーvol.1:全体編 ※株式会社キャスター提供

    (資料をPDFダウンロードしていただき、→をクリックすると別サイトに遷移いたします。)


    View full-size slide

  3. Copylight © Remote Worker Association All rights reserved.
    3
    • リモートワークにおけるセキュリティ脅威と事故

    • セキュリティ脅威・事故防止への対策

    • セキュリティ対策マップ

    • 対策事項詳細


    〜Appendix〜

    ・さらにセキュリティ対策を強化するために

    ・ホワイトペーパー監修

    目次


    View full-size slide

  4. Copylight © Remote Worker Association All rights reserved.
    4
    リモートワークにおけるセキュリティ脅威・事故

    •マルウェア感染

    •不正アクセス

    •盗難 

    •設定、運用ミス

    •端末置き忘れ

    •各種ハードウェア故障

    •地震、火災

    •洪水、落雷停電等

    人為的
    脅威

    意図的
    脅威

    偶発的
    脅威

    環境的脅威

    情報消失

    情報漏えい

    作業中断


    View full-size slide

  5. Copylight © Remote Worker Association All rights reserved.
    5
    セキュリティ脅威・事故防止への対策

    情報消失

    情報漏えい

    作業中断

    1.ポリシー
    管理

    2.システム
    対策

    3.物理

    対策

    1-1. ポリシー更新

    1-2. 従業員教育

    2-1. アクセス制御

    2-2. 監査

    2-3. 監視・検知

    3-1. 端末

    3-2. ネットワーク

    3-3. 執務環境


    View full-size slide

  6. Copylight © Remote Worker Association All rights reserved.
    6
    セキュリティ対策マップ

    持出し

    社内 社外
    会社端末
 私物端末

    アクセス

    端末管理/

    ログ管理

    自宅

    カフェ・

    コワーキング等

    社内

    サーバー

    クラウド

    システム

    1-1. ポリシー更新

    2-1. アクセス制御

    1-2. 従業員教育

    2-3. 監視/検知

    2-2. 監査

    3-1. 端末

    3-2. ネットワーク

    3-3. 執務環境


    View full-size slide

  7. 対策事項詳細

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  8. 8
    1. ポリシー管理

    1-1.

    ポリシー

    更新

    1-2.

    従業員教育

    • セキュリティポリシー、規程、マニュアル類を更新する。

    • リモートワーク導入によってルール変化が起こる部分が更新
    対象となる。

    - 情報資産へのアクセス制御、通信のセキュリティ、暗号化、
    ログ管理、マルウェアからの保護、執務環境等

    • セキュリティポリシー、規程類の変更箇所を中心に、リモート
    ワーク実施時に留意する点を従業員に周知する。

    • 特に従業員の行動次第で顕在化する脅威について重点的に
    研修を行う。

    - 端末の盗難被害、公共無線LANへの接続等

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  9. 9
    2. システム対策 2-1.アクセス制御

    アクセス

    ポイント

    制御

    • 利用可能なアクセスポイント(無線LAN)を限定する対応。

    • 公共無線LAN等、未許可ネットワークへの接続を制御する。

    多要素認証

    • 認証の3つの要素から2つ以上を組み合わせる。

    - 知識要素:パスワード、PINコード

    - 所有要素:スマートフォン、トークン

    - 生体要素:指紋、顔

    • クラウド上のアプリへのアクセスであれば、ログインID/パス
    ワード入力後、登録済みのスマートフォンにSMSで届いたコー
    ドを入力しなければアクセスできない形を指す。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  10. 10
    2. システム対策 2-1.アクセス制御

    ID管理

    (アカウント

    管理)

    • アカウントの不正利用を防止するために、以下を行う。

    - アカウントの一元管理

    - アカウント発行時のパスワード生成/通知ルール

    - 休職・退職者のアカウントの停止・削除

    - パスワードの定期的な強制変更

    アクセス

    コントロー
    ル

    • 社外からの各種システムに対するアクセスを可能とする対応。

    • 従業員の属性(職位・部署等)に応じて、ファイル/フォルダの
    閲覧制限をかける対応。

    - Active Directy、Google管理コンソール等での対応

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  11. 11
    2. システム対策 2-2.監査

    ログ管理

    • ログを取得することにより、不正行為へのけん制・問題発生時
    の原因特定に繫げる。

    • 主に、各社内システムや、ファイル、フォルダ、ウェブサイトへ
    のアクセスログ、パソコンの操作ログが対象となる。

    端末管理

    (MDM)

    • PC、スマートフォンなどのパスワードポリシー強制適用、遠隔
    でのロック・データ消去を可能とする対応。

    • 端末の紛失・盗難時における機密情報の漏えい防止を目的と
    する。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  12. 12
    2. システム対策 2-2.監査

    フィルタ

    リング

    • 有害なサイト閲覧によるマルウェア感染リスクや、業務外のサ
    イト閲覧による生産性低下を防止する対応。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  13. 13
    3. 物理対策

    のぞき見

    防止

    フィルター

    • PC、スマートフォンの画面を見られることによる、認証情報
    (ID/パスワード)や機密情報の漏えい防止を目的とした対
    応。

    • 作業場所が不特定で、誰かに画面を見られる可能性の高い環
    境となるリモートワークには必須の対応となる。

    シンクライ

    アント化

    • サーバー側の画面をPCなどの端末に表示させる対応。

    - 仮想デスクトップ、VDI、DaaSなどが当たる。

    • 端末側へのファイル、データ保存不可。

    • 私物端末を利用して業務を行う場合などに適している。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  14. 14
    3. 物理対策

    ワイヤー

    ロック

    • 不特定の場所で行うリモートワークにおいて、端末の盗難を物
    理的に防ぐための対応。

    • 在宅勤務においても空き巣等の犯罪リスクがあるため、施錠し
    ておくことが望ましい。

    ハード

    ディスク

    暗号化

    • ハードディスクを暗号化し、盗難・紛失による情報漏えいを防
    止する対応。

    • 一般的にWindowsはbit rocker、MacはFire Vaultを利用。

    • 暗号化解除パスワードが漏えいしている意味が無いため、
    MDMとの組合せで、セキュリティを強固にする必要がある。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  15. 15
    3. 物理対策

    外部記録

    媒体制限

    • USBや外付けハードディスクなどの利用を制限する対応。

    • WindowsはActive Directryのグループポリシーで設定可能。

    • LanScope Catなどのエンドポイント管理ツールを利用し、接続
    時の禁止通知、特定の外部記録媒体のみを利用可能にする、
    といった対応も可能。

    ハード

    ディスク

    保存制限

    • 内蔵ハードディスクへのファイル保存を制限する対応。

    • データの作成・編集など、すべてをクラウド上で行うことで、情
    報漏えいを防止する。

    • WindowsであればActive Directryのグループポリシーで設定す
    る。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  16. 16
    3. 物理対策

    無線LAN

    暗号化

    • 従業員の自宅無線LANを利用する場合には、無線LANが暗号
    化されているかどうかを確認する。

    • 暗号化がされていない場合、第三者のなりすましに・踏み台に
    よる不正アクセスなどのリスクがある。

    施錠・

    入退室管理

    • 業務を行う環境は、自宅であれば施錠、シェアオフィスなどで
    は入退室管理がされた場所で行うことが望ましい。

    • 自宅においては空き巣等での盗難や、家族からの情報漏えい
    リスクの防止、シェアオフィスにおいは、入退室管理がされてい
    ることによる窃盗など犯罪へのけん制が利く。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  17. Appendix

    Copylight © Remote Worker Association All rights reserved.
    さらにセキュリティ対策を強化するために


    View full-size slide

  18. 18
    2. システム対策 2-3.監視・検知

    マルウェア

    対策

    • マルウェア対策ソフトを導入し、感染による情報漏えい、ファイ
    ルの改ざん等を防止する。

    • プログラム、ウィルス定義ファイルの自動アップデートを有効に
    し、全端末に最新のアップデートが適用されている状態とす
    る。

    不正侵入

    検知・防御

    • サーバーやネットワークを監視し、不正なアクセスを検知・防御
    することを目的とした対応(WAF/IPS)。

    • サイバー攻撃による自社システムからの情報漏えい、Webサイ
    トの改ざん等を防止する。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  19. 19
    2. システム対策 2-3.監視・検知

    パッチ

    マネジメント

    • 脆弱性を修正するためのセキュリティーパッチを全端末に対し
    て自動的・強制的に配布する対応。

    • Windows/Mac双方への対応、配布対象の端末特定、パッチ配
    布前のテストが必要となる。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  20. 20
    2. システム対策 2-4.その他

    バックアップ

    • 社内のファイルサーバーと同様に、クラウド上のファイルにつ
    いても定期的なバックアップを取得するのが望ましい。

    アプリ

    導入・

    実行制御

    • 従業員自身でのアプリ・ソフトウェアのインストール制限をかけ
    る対応。

    • ライセンス違反の防止、マルウェア感染の防止等を目的とす
    る。

    • WindowsであればActive DirectryのApp Locker等の利用を推
    奨。

    Copylight © Remote Worker Association All rights reserved.

    View full-size slide

  21. Copylight © Remote Worker Association All rights reserved.
    21
    ホワイトペーパー監修


    株式会社クロスリバー代表取締役社長CEO

    株式会社キャスター Caster Anywhere責任者 越川慎司


    国内外の通信会社に勤務、ITベンチャーの起業を経て、マイクロソフト米国本社に入社。 

    のちに日本マイクロソフトの業務執行役員として、Officeビジネスの責任者に従事。 

    2017年に株式会社クロスリバーを創業し、週休3日で500社以上の企業の働き方改革やITプロジェクトを支援。海外プロ
    ジェクトにも参画し、年間移動距離は地球4周以上になる。 

    2018年11月に株式会社キャスターの執行役員に就任し、リモートワーク導入コンサルティング「Caseter Anywhere」の事
    業責任者およびコンサルタントとして、多くの企業でリモートワーク支援を手がける。 

    ホワイトペーパー監修、情報提供


    View full-size slide