データや情報の価値が高まっている現代、その場しのぎの対応によってできたセキュリティホールは、悪意を持った人間にとって格好のターゲットとなります。

現状を一度整理して、テレワーク体制を整えるために必要なセキュリティ対策は何なのかを考えてみましょう。

安倍首相は緊急事態宣言の発出の際「最低でも7割、極力8割、人との接触を減らしていただきたい」と語っています。

事業所によっては数十人から数百人が一度に集まる「密集」、事業所と言う「密閉」、隣と1メートル程度しか離れていない「密接」のいわゆる三密の条件を満たしている、まさに対策が必要な空間といえます。

企業としても現在感染者が出た事業所は閉鎖するなどの対応を行っているケースが多く、BCP（Business Continuity Plan 事業継続計画）の観点からも、テレワークによるリスクヘッジが必要であるとの認識が高まっている状態です。

さらには出社時の満員電車やエレベーター、果てはお昼ご飯に立ち寄る飲食店など、三密をすべて避けることは至難の業といえます。

こうした中、各地で極力人と人との積極を避ける方法としてテレワークが推進されています。

東京都でも小池知事がテレワークの推進を前倒して進める意向を見せました。

このような社会からの要請に応えるべく、大企業や中小企業といった企業規模を問わずテレワークの実施を行い、日中の外出が最小限になるよう各社工夫を凝らしている状況です。

今回は特にスピード勝負なところがあり、「業務を止めないこと」を最優先とした結果セキュリティ対策については十分な議論を行えないままテレワークの実施に踏み切った企業も多いのではないでしょうか。

テレワークを行うにあたって必要なこととして、パッと考えただけでも以下のような内容を考える必要があります。

※もちろんこれら以外にも多数の検討が必要です

• 誰を対象とするのか？
  • 営業は？バックオフィスは？カスタマーサポートは？
• 端末はどうするのか？
  • ノートPCを会社から支給？個人のPCで作業してもらう？シンクライアント導入？
• 社内サーバへの接続はどうするのか
  • 個人の端末に必要なデータを落としてもらう？VPNで接続？オンラインストレージに乗せる？
• BYODの場合セキュリティソフトを指定するべきか？
• 作業しても良い環境についてどう規定するべきか？
• セキュリティアラートをどのようにして挙げてもらうか？

こうした内容について、本来は会社としてのガイドラインや事前の確認を行うべきですが、今回の事態は非常に特殊でなかなか事前準備を行えていないのが現状です。

結果として、かなりの企業が付け焼刃での対応をせざるを得ない状況なのではないでしょうか。

悪意を持った人間は、どこかに空いたセキュリティの穴を常に探しています。

だからこそ、こうした非常事態のようなタイミングを逃すことはほぼないと言っても良いでしょう。

今後、以下のようなインシデントが発生してしまうケースが出てしまうことが考えられます。

• マルウェア感染による情報流出
• ウイルスメールの踏み台化
• ランサムウェアによる身代金要求

これらが発生する原因として、いくつかの典型的な例があります。

情シス担当の人からすると信じられないかもしれませんが、自分のPCにセキュリティ対策ソフトを入れていないという人は一定の割合で存在すると考えられます。

最低限のセキュリティ対策は当然しているという前提に立ってしまった場合、この時点でとてつもなく大きなセキュリティホールが発生してしまいます。

中小企業ですぐに必要数のノートPCを準備できないというケースではBYODによる運用を避けられないところもあるでしょう。

もしあなたの会社がそうであれば、今すぐ全社員に確認を行うべきです。

社内にいる場合は口頭でちょっとした相談をして解決できることでも、それがメールやチャットなどで聞かないといけなくなった途端に面倒くさいと感じてしまうものです。

おかしなメールが届いたり、端末で不審な挙動が起こったりするケースでも、こうした小さなハードルがあるだけで聞きにくくなってしまい、知らないところでマルウェア感染や詐欺メールに引っかかってしまう可能性が高まってしまうのです。

業務が終了したタイミングで、ちょっと気になるサイトをチェック。

社内であれば他の人の目もあるのでなかなか見るのがはばかられるサイトだけど、自宅だから大丈夫・・・。

人の目がないということで、「ちょっとくらいなら」という感覚でネットサーフィンを行い、ついずるずると見続けた結果おかしなサイトを閲覧し、マルウェアに感染してしまう。

特に自宅に個人用PCを持っていない人にとっては魅力的なツールと捉えられてしまう可能性もあったりします。

情シス担当は、こうした様々なケースを想定したうえで早急にガイドラインを設定し、社内のセキュリティレベルを上げていかなくてはならないのです。

総務省はテレワークの実施に伴い情報セキュリティ対策に関する検討の参考として貰うことを目的として、「テレワークセキュリティガイドライン」を策定しています。

中に記載されているのは

「テレワークにおける情報セキュリティ対策の考え方」

「テレワークセキュリティ対策のポイント」

「テレワークセキュリティ対策の解説」

となっており、「基本方針策定」といった大枠の部分から「パスワードの管理方法」と言った詳細な対策まで全体を網羅した資料となっています。

「テレワークの方法に応じた対策の考え方」と言うような内容も記載しており、どのようなテレワークの方式があり、自社に合った方法はどれなのかを簡単に検討することができます。

こうしたガイドラインを活用して、テレワーク環境下での情報セキュリティ対策を整備していくのが今情シス担当者として求められていることではないでしょうか？

トレンドマイクロでは、テレワーク時のセキュリティレベルを出社時と同等に保つためのサービスとして、クラウド型のエンドポイント対策製品であるウイルスバスター™ ビジネスセキュリティサービス（VBBSS）やTrend Micro Apex One™ SaaS、Trend Micro Cloud App Security™（CAS）をご提供しているほか、テレワークにおけるセキュリティの注意点と対策をまとめています。

一方、サーバ向け製品としてTrend Micro Cloud One - Workload Security™もおすすめしています。

いずれの製品も、管理サーバ不要のSaaS版サーバ向け製品のため、リモート環境でも端末やサーバの管理・監視が可能になります。

VBBSSとApex One™ SaaSは、自社のPCやスマホ、タブレット端末といった”エンドポイント”を保護するクラウド型セキュリティサービスです。

パターンファイルは自動アップデートで常に最新、自社で管理用サーバを準備する必要はないため、管理・運用の煩わしさに頭を悩ませる必要はありません。

また、クラウドを活用することでPCの負担を軽減し、強固で軽快な動作を実現します。

担当者が変わっても運用・管理を容易に引き継ぐことができ、一貫したセキュリティレベルを担保することができる製品です。

特にTrend Micro Apex One™ SaaSは、検出から対応までをシームレスに統合し、さまざまな技術を活用することでデータ侵害を受ける前に脅威を検出して対応することができる最新のエンドポイントセキュリティです。

先進技術と実績ある技術を融合したXGenのセキュリティアプローチによりさまざまな検出レイヤにおいて誤検出を大幅に削減。

また、挙動分析により、スクリプト、インジェクション、ランサムウェア、メモリ、ブラウザ攻撃に対する効果的な保護を実現しています。

Trend Micro Cloud One - Workload Security™はトレンドマイクロが管理サーバをクラウドで提供するSaaS型のため、スピーディに開始可能です。

そのうえ最新のセキュリティ機能でワークロードを保護しているため、担当者はサーバ、インスタンスの保護に注力することができます。

テレワーク時に自宅などからアクセスするメールサービスにもセキュリティ対策を実現

Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視