僕自身もそうだが、テレワークが多くなって業務をいろいろなデバイスでこなすようになっている。オフィスのクライアントPCは持ち歩かず置きっぱなし、会社支給のスマートフォンでメールを見るなどオフィスの外からそれなりのことはできる。複雑な資料作りなどは、自宅の個人PCでやる。オフィスのクライアントPCとのデータのやり取りは、会社規定に従って行っている。
今月大手企業が、在宅勤務時のPCがウイルスに感染したのが原因で、社内システムにウイルスが拡散し被害にあったと発表した。
https://www.jiji.com/jc/article?k=2020080701174&g=eco
オフィスでの業務に近いことをしようとPCを持ち帰り、自宅で外部ネットワーク(SNS)につないだ時にウイルスに感染したらしい。この時VPN(Virtual Private Network)などの防御措置をしていなかったという。そしてそのPCをオフィスに戻していつものように社内ネットワークにつないだ。そこからウイルスが社内に拡散したようだ。
もはや社内システムだけに目を光らせていれば、サイバー攻撃を防ぐことができるというものではないことは、この事件以前から知られていた。セキュリティベンダーは、エンドポイント・セキュリティの重要性を説く。
・HDDの暗号化
・マルウェア検知
・振る舞い検知
・ID管理
・私物端末からのアクセス時の検疫機能
が必要だという。わー、こんなのできない!と言っていては、「COVID-19」騒ぎで普及しようとしているテレワークの流れに水を差す。多くの企業が利便性とセキュリティリスクのバランスに留意しながら、テレワークを進めている。先進的なある企業に話を聞くと、
・従業員の健康(究極は命)を守るため、テレワークを原則にした。
・もともとBCP(Buisiness Continuity Management Plan)にテレワークがあった。
・業務によってガイドラインを定め、個人PC/スマホの利用も可能にした。
・運用上問題も出てきたが、ひとつひとつ潰していき円滑な業務を可能にした。
・「働くママの一日」や「CEOのテレワーク」など内外への情報発信に努めた。
という努力を教えてもらえた。なるほど、情報を守るレベルではなく命を守ることが目的ね。それなら全社一丸、取り組めるというものですね。