執筆者:柴沼 潤
テレワーク導入に向けてセキュリティへの不安を感じている方へ
こんにちは。マーケティングデザインの柴沼です。
今回はテレワーク導入の際、不安の声にもよくあがる「セキュリティ」についてお話させていただきます。
もちろんテレワーク実施の有無に関わらず、会社の機密情報の管理は誰もがしっかりと取り組まなくてはいけないことです。
ですが昨今データをクラウドにアップしたり、自宅にパソコンを持ち帰ったりする機会が増えたことにより、今まで以上にセキュリティに関する意識を高める必要が出てまいりました。
そこで今回はセキュリティを意識する上で注意すべきポイントや、
弊社が活用しているクラウドデータサービスのセキュリティについてご紹介したいと思います。
本記事でお伝えする内容は下記の通りになります。
◆本記事でお伝えする内容◆
・自社のデータセキュリティ管理においては技術よりも「ユーザの意識」の方が重要である
・二重認証サービスを使えばセキュリティリスクを減らすことが出来る
・AWSのクラウドデータのセキュリティは世界中のあらゆる機関のコンプライアンス基準をクリアしている
◆目次◆
- セキュリティが甘いとどんな事態が起こる?
- セキュリティ管理で一番大事なことは?
- セキュリティを強化するために有効な二重認証
- データの管理はどうする? AWSのデータ管理システム
はじめに
私は現在、海外に滞在しており、テレワークで業務を進めています。この記事も海外から執筆しております。それだけでなく過去のAWS(Amazon Web Service)に関する分析データの作成も海外から実施しました。テレワークの普及が進んできた現在では珍しいことではないかもしれませんが、「海外から社内のデータにアクセスしている」という状況を聞いたとき「本当に安全なのか?」「情報管理などは大丈夫なのか?」といった不安を感じる方もいらっしゃるかと思います。
そこで本記事では「セキュリティが甘い場合に起きうるリスク」や「最も注意すべきことは何か」といったセキュリティを考える上で抑えておきたい基本から、AWSのデータセキュリティの信頼性について紹介していきます。
1.セキュリティが甘いと、どんなことが起こる?
サイバー犯罪(コンピュータ技術及び電気通信技術を悪用した犯罪)の被害の影響は大きく、トレンドマイクロ社の調査によると2019年度は国内法人の4割が何らかのサイバー犯罪の被害にあっており、平均被害額は1億4800万円にも及ぶことがわかっています。
不正なアクセスを許してしまうことで企業情報の漏洩やデバイス・ネットワークの破損などに繋がる可能性があります。
記憶に新しいものでは大手教育事業社の顧客情報が約2900万件した事件などが挙げられます。情報漏洩による信頼の損失、顧客の離脱により翌年には営業利益が9割近く減少するなど、被害額は侮れません。何よりサービスを利用してくださっている消費者の方々を不安にさせてしまいます。
情報漏洩に至らなくとも、不正ソフトをダウンロードしてしまい自社のネットワークにダメージを受けてしまえば業務は停止してしまい、結果として時間・利益を失うことになります。
ネットワークを介して情報をやりとりする機会が増えるのに比例し、セキュリティ管理の重要性も高まってきています。
2.セキュリティ管理で一番大事なことは?
セキュリティ管理で意識すべきは大きく分けて「人間の行動」と「セキュリティシステムの完備」の2点です。
このうち大事なのは「人間の行動」です。
サイバー犯罪は人間の感情や反応を付け狙って来ます。それは例えば「恐怖」「信頼」「報奨」「好奇心」などです。具体的には
「この度はXXXへご注文をいただき、誠に有難うございます。添付の『注文詳細』(.pdfファイル)をご確認ください。」
といった具合に心当たりのないメールが届き、添付ファイルやリンクを開かせようとしてきます。気になる内容であっても添付ファイルを用意に開かないことが重要です。トレンドマイクロ社の調査においても、サイバー犯罪の経路上位2つはメールからです。第一位はフィッシングメールと呼ばれサイバー犯罪の中でも特に主流な手法になっています。先程の例のように、文体を変えリンクや添付ファイルを開かせようとしてきます。
Salesforce社ではセキュリティトレーニングを実施することでフィッシングメールのリンクをクリックする割合を半分、フィッシングメールを報告する割合を倍に増やすことに成功しています。まずはスタッフのセキュリティ意識を高め、不用意にメールのリンクなどを開かないようにすることが重要です。
3.セキュリティを強化するために有効な二重認証
「人間の行動」の意識を高めたとしても、悪意ある人にログインIDやパスワードを盗み見られる危険性もあります。そのためセキュリティシステムの完備も重要になってきます。
その中でも今回オススメしたいのが二重認証です。
二重認証とは機器を操作しているのが本人かどうかを判別するシステムです。二重認証を採用すると、IDやパスワードが漏洩しても、それを所有している本人の機器(パソコン・スマートフォン)にのみ定められた認証キーを用いなければログイン出来なくなります。
最近では所有している携帯電話にショートメッセージや登録アドレスに認証コードを送るシステムなどがよく使われていますが、USBカードタイプの認証キーもあります。USBを指しているPCでしかログイン出来なくなりますので、不正にログインされる危険性を大きく減らすことが出来ます。
以前は会社からのパソコンの持ち出しは不可だったが、テレワークの普及により、パソコンを持ち歩く機会が増えた、または家のパソコンから会社のデータにログインするようになった、という方もおられることと思います。
まだ二重認証システムを導入していない場合は是非検討してみてはいかがでしょうか。
また二重認証システム以外にも、
・パスワードには英字、数字、記号を必須とする
・パスワードは定期的に変更する
・会社の情報のアクセスには適切なユーザ権限を付与する
などセキュリティ環境を整える方法があります。
4.データの管理はどうする? AWSのデータ管理システム
不正アクセス以外の問題以外にも、データクラウド化により重要な情報が全てネット状に保管されているということに不安を覚える方も多いと思います。
ここでは弊社がデータの保管に活用しているAWS(Amazon Web Service)のセキュリティをご紹介致します。
AWSのデータ・セキュリティの特徴は数多くありますが、何よりも実績として数多くのセキュリティ標準やコンプライアンス認証 (PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR、FIPS 140-2、NIST 800-171 などを含む) をサポートしており、世界中の事実上すべての規制機関によるコンプライアンス要件を満たすことが出来ているという点です。
※FedRAMP:米国政府機関におけるクラウドセキュリティ認証制度
※GDPR:EU一般データ保護規則
など
金融、小売、ヘルスケア、政府などのセキュリティおよびコンプライアンス基準を満たす数千件におよぶグローバルコンプライアンス要件のサードパーティを定期的に検証しており、確かな実績を抱えています。
(参考:https://aws.amazon.com/jp/security/)
具体的な特徴としては
・細かなアイデンティティとアクセス制御
・ほぼリアルタイムのセキュリティ情報の継続的モニタリング
・セキュリティ専門家チームによる24 時間体制のモニタリング
・セキュリティタスク自動化による人的な設定エラーの減少
・AWS グローバルネットワークを流れるデータに対し、安全性が保証された施設を離れる前に物理レイヤーで自動的に暗号化
といったものが挙げられます。
また実際にデータベースシステムを扱ってみて「適切なアクセス権の付与」も簡単に実行出来るため、データの安全管理に安心感があります。
クラウドに保存してあるデータのセキュリティに安心感があると、遠方にいるスタッフがデータにアクセスする際にも不安がなくなります。テレワークが広く普及されだした昨今、クラウドデータサービスのセキュリティを改めてチェックしてみるのはいかがでしょうか?
また、テレワークの際に実際にどのようなシステムが普及しているか等、弊社で実態調査を致しました。興味のある方はぜひ、ご参考下さい。
【お役立ちe-book配布中】
📗テレワークの実態調査と移行する為のポイントとは?
ダウンロードはこちら👇