法人のお客さまに起こりがちな状況
コロナ禍、テレワークの推進、働き方改革、地方創生と現在の環境はさまざまな対応が求められます。
そうした中、働く場所を柔軟に活用する「サテライトオフィス」という選択肢が、企業の間で徐々に広がっています。
今回は、サテライトオフィスとはどのようなものか、そしてサテライトオフィスでの情報セキュリティ対策はどのような観点で行うべきかをお伝えします。
テレワークで増える「サテライトオフィス」
コロナ禍において3密回避のため、各企業でテレワークが推進されています。この動きの中で、事業所内の人数を減らすために「サテライトオフィス」も選択肢のひとつとなっています。
厳密な定義はありませんが、事業所とサテライトオフィスの違いは設備の充実度の違いと言えます。事業所は事業推進に必要な各種機能(バックオフィス等)が備わっていますが、サテライトオフィスの場合は機能が最小限に抑えられ、業務を行うことはできるもののあくまでも一時的な作業用のスペースと言う意味合いが強いものになります。
サテライトオフィスには利用者による区分の「占有型」と「共有型」が存在します。「占有型」はその名の通り自社およびその関連会社などに利用者が限定されたスペースを指し、セキュリティなどの面で安心感があります。「共用型」はいわゆるシェアオフィスの共用スペースなども該当し、コストを抑えつつ利用することが可能です。
また、別の区分として場所による区分も存在し、「都市型」「郊外型」「地方型」で分類されています。
「都市型」は地方に本社を持つ企業が東京などに置くサテライトオフィスで、営業担当などの簡易的な支社として機能しているケースがあります。
「郊外型」は従業員の職住近接を目的として設置されることが多く、銀行などが支店の空いているスペースをサテライトオフィスとして活用するなどの取り組みを進めています。
「地方型」は地方創生の一環として取り組まれることが多く、ワークライフバランスを保つため自然が多い地方に拠点を作り従業員の労働生産性向上を目指すために設置されたりします。
いずれの場合も従来とは異なる新たな拠点として、情報セキュリティ上の検討事項が増えることになるため情シス担当者はしっかりとリスクの洗い出しと対応方針の策定を行わなければなりません。
サテライトオフィス設備で考慮するべきセキュリティ対策
サテライトオフィスの設備は簡易なものとは言いつつも、情報化社会においては避けうることができないことが情報セキュリティ対策です。
前述のサテライトオフィスの区分では、利用者による区分の方がより大きな影響を与えます。「占有型」については原則自社の従業員しか利用しないため、情報セキュリティ対策としては事業所と同様の対応を行えば基本的には問題ありません。
ただし、外部企業のサテライトオフィス物件などを契約している場合、ネットワーク環境などは自社で制御できないケースがあり注意が必要です。そのためセキュリティ対策は通信の暗号化やエンドポイントプロテクションが中心となってきます。
「共用型」のサテライトオフィスは、不特定多数のユーザがいるため、占有型と比較してよりセキュリティ対策に注意が必要です。情報漏洩対策としてはハードウェアレベルでの紛失・盗難についての対策や背後からのぞき込まれる(見えてしまう)ソーシャルハッキングの対応なども考慮しないといけません。
一般社団法人 日本テレワーク協会は「共同利用型オフィス等で備えたいセキュリティ対策について」の資料の中でサテライトオフィスのような共用型のオフィスに必要なセキュリティ課題について以下6点を挙げています。
-
- 管理体制(セキュリティポリシー・トレーニング等)
- 施設としてのセキュリティポリシーが明示されており、定期的なトレーニングが実施されているか、事故発生時の対応マニュアルが整備されているか、常に最新のセキュリティ情報の収集・確認が行われているかなどを確認します。
-
- 入退室管理・利用者情報
- 施設内に不審な人物が入らないよう、利用者の本人確認がしっかりと行われているか、個人情報が適切に管理されているか、ウェブサイト等で情報管理している場合適切な管理が行われているか、施設への入退室時にカード認証等で部外者を入場させない仕組みになっているか、会員区分を明確化しているかなどを確認します。
-
- ネットワーク機器(無線LANアクセスポイント・ルーター等)
- 常に最新のファームウェアアップデートが行われ脆弱性がない状態を維持しているか、無線LANアクセスポイントのセキュリティ設定が正しく行われているか、利用者の端末間通信が禁止されているか、業務用ネットワークが分離されているか、アクセスログが適切に管理されているかなどを確認します。
-
- ネットワーク接続機器(複合機・防犯カメラ等)
- 最新のファームウェアアップデートが行われているか、管理者パスワード等が適切に管理されているか、複合機の外部ネットワーク接続が禁止されているか、IDやパスワードによる複合機の出力管理が行われているかなどを確認します。
-
- レンタルPC
- この項目は施設でのレンタルPCを利用するケースにはなりますが、インストールされたソフトウェアが最新のアップデートが行われているか、複数の利用者が共用する場合環境が毎回初期化されているか、のぞき見防止対策が行われているかなどを確認します。
-
- 物理設備(ロッカー等)
- ウェブミーティング用のスペースが確保されているか、ロッカーなどの認証方式がセキュアなもの(スマートロッカー等)になっているか、シュレッダーや溶解ボックス等により資料が安全に破棄できる環境になっているかなどを確認します。
サテライトオフィス利用時に自社で行うべきセキュリティ対策
セキュリティ対策は設備側での対応だけではなく、当然自社側でも行うべき内容です。自社においてもネットワーク全体を把握している事業所内とは異なり半パブリックな環境での作業と言うことを理解し、社内よりもセキュアな環境を意識する必要があります。
以下にいくつかのポイントを挙げていきます。
-
- OS・ファームウェアの定期的なアップデートを必須とする
- 完全にコントロールできている事業所内とは異なり、サテライトオフィスにはシステム管理者が常駐していることはほぼありません。脆弱性を極力減らしリスクを低減するために、定期的なアップデートを実施しておくことが重要です。
-
- 自社で構築しているネットワーク接続以外では暗号化通信を必須とする
- いくらセキュアな通信を謳っていても、他社が実態としてどのような体制を構築しているかは不明です。セキュリティインシデント発生時の責任を考慮すると、自社で構築しているネットワーク内での接続でなければVPNを利用するなど暗号化通信を必須とするルールにしておくのが無難と言えます。
-
- 周囲に不審な人物がいないかを確認したうえで利用しておくこと
- PC作業時に後ろからのぞき込まれないようにする、ウェブミーティング時は個室を利用して音声が聞かれないようにするなど意図しない情報漏洩が起こったりソーシャルハッキングが行われたりしないように指導する必要があります。
-
- セキュリティソフト等での外部からの攻撃対策を行っておくこと
- ネットワークが常にこちらが想定している状態にあるとは言えないのが、特に共用型のサテライトオフィスです。不正アクセスの可能性を考慮し、エンドポイントのセキュリティを常に最新の状態にして意識しておく必要があります。
あまりにも基本的なことと感じるかもしれませんが、普段とは違う場所であることによって逆に基本的なことには意識が向かないケースもあります。
特殊なケースに対する対応も必要ではありますが、まずはしっかりと基本的なセキュリティ対策を行い「こんな単純なミスで」とならないように気を付けるように啓蒙活動を行いましょう。
サテライトオフィスの活用で働き方のアップデートと同時にセキュリティ体制もアップデートを
サテライトオフィスはテレワークの推進に伴い地方拠点、職住近接、地方創生とさまざまな観点で現在活用が進んでいます。しかし、その分十分な情報セキュリティを維持するためには、相応の対応が必要とも言えます。ルール、人、システムの3本柱を観点として、極力業務効率に影響を与えないような形でセキュリティレベルを高めることが情シス担当者には求められます。
中でもシステム面での対応はセキュリティレベルを高めるとともに、管理体制を整える上でも今や必須とも言える状況です。
情シス担当者としても、働き方をアップデートできる体制を構築しましょう。
トレンドマイクロからのアドバイス
サテライトオフィスは働き方改革による新たな拠点として期待されている一方、情シス担当者にとっては情報セキュリティ上の懸念点となりかねない場所となっています。しかし一方で、この対応がきちんとできればテレワークなどを含めて今後も広がる働き方の多様化に対して有効な方針を見つけられるかもしれません。
トレンドマイクロでは事業所外でも高いセキュリティレベルを維持できるソリューションを取りそろえています。
ぜひ自社の状況に合わせて導入をご検討ください。
軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ
ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。
従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。
「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。
事前予防と事後対処を実現するエンドポイントセキュリティ
Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。
管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。
先進技術と実績ある技術を融合したXGen(クロスジェネレーション)のセキュリティアプローチによりスクリプト、インジェクション、ランサムウェア、メモリ、ブラウザ攻撃に対する効果的な保護を実現するほかWebレピュテーション機能によって不正URLへのアクセスをブロックすることでフィッシング被害を抑制することも可能です。
高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護
Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。
ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。
※すべての未知の脅威に対応するものではありません
また、トレンドマイクロではExchange Onlineを使用しているお客さま向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。
ご活用いただける環境にありましたらぜひお試しください。