<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=44935&amp;fmt=gif">

在宅勤務でデータ セキュリティを管理する 5 つの方法

投稿者 | 公開日
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >在宅勤務でデータ セキュリティを管理する 5 つの方法</span>

リモート ワークが当たり前になっている、という結果が発表されました。新型コロナウイルス以降、82% の企業がリモート ワークを承認しており、長期的に柔軟な作業環境を盤石にするために競い合っています。

PulseSecure の『2020 Remote Work From Home Cybersecurity Report (在宅リモート ワーク サイバー セキュリティ レポート)』によると、69% の企業がリモート ワークによって新しいセキュリティ リスクが発生すると予想していました。実際に、サイバー セキュリティ攻撃や新型コロナウイルス関連のフィッシング詐欺の増加によって、それはあっという間に現実のものとなりました。

その結果、55% の企業が、リモート ワークの安全を確保する予算の増額を計画しています。データ漏えいに関する総コストに対して、推定されるリモート ワークによる影響が年間 137,000 ドルに達することを考慮すると、この投資には確実に価値があります。

以下の 5 つのステップを実行して、従業員の在宅勤務の環境とデータの安全を確保しましょう。

1. 従業員のネットワークとデバイスを保護する

リモート ワークによって、IT チームは、従業員のデバイス、接続、さらには通常のオフィス環境のセキュリティ外にあるデータを保護するという課題に直面します。

「在宅勤務をする従業員が増加するということは、リモートで接続するデバイスが増加するということです」と、NordVPN Teams の最高技術責任者である Juta Gurinaviciute 氏は話します。「結果として、企業のデータ制御が急速に低下しています。そのため、リモート ワーク従業員のデータの取り扱いを把握してニュー ノーマルを再構成し、より効果的で安全なものにすることが非常に重要です」

仮想プライベート ネットワーク (VPN) は従業員企業のネットワーク環境の両方を保護しますが、大規模なリモート ワークをサポートするためには VPN に十分なスペースが必要です。たとえば、2020 年 3 月初旬に、Equifax では VPN を使用する従業員数が急増して 90% を超えました。あまりに多数のユーザーが使用することでネットワークに負荷がかかると、接続のセキュリティに問題が生じたり、従業員が接続しにくい状態になったりします。

Microsoft の調査によると、パンデミック時のセキュリティに関する最大の支出は多要素認証 (MFA) でした。MFA では、従業員は身元を証明するために、単なるパスワード以外の情報も提供する必要があります。その例として、セキュリティに関する質問、携帯電話に送信されるコードや、顔認証のような生体認証があります。従業員が必要不可欠なデータを格納する重要なビジネス ツールに頻繁にログインすることを考慮すると、この追加手順は非常に重要です。

Trello Enterprise を利用すると、2 要素認証 (2FA) を有効にして、認証プロセスを多要素認証と同等に安全に行えるようになります。多要素認証では 3 つ以上のオプションが要求されるのに対して、従業員は自分の身元を実証するのに 2 つの方法を使用します。これによって、自宅、オフィス、外出先など、働く場所を問わず、従業員が安全に業務を行えるようになります。

2. シャドー IT の行為や未承認のツールに直接対処する

従業員は業務を完了するために必要なことを実行します。在宅勤務のシナリオでは、社内にあるツールやハードウェアにはアクセスできないため、IT 部門に承認されていない慣行やツールを採用する可能性があります。

多くの場合、このような行為はシャドー IT と呼ばれます。

こちらにシャドー IT の事例を示します。従業員がリモート ワークでは BYOD (個人所有の機器の使用) という方法を行っています。最近の調査で、33% の従業員が職場から支給されたデバイスではなく、個人のデバイスを使用して業務を行っているということがわかりました。

Box のグローバル最高セキュリティ責任者である Lakshmi Hanspal 氏は、次のように記しています。「ユーザーは、企業のニーズに合致しないセキュリティ対策に対処する方法を見つけようとします。エンド ユーザーがセキュリティを障害になるものと見なしている限り、私たちは常に不要なリスクに直面することになるでしょう」

それらのリスクとは、従業員のデバイス上のマルウェアとウイルスの増加です。

従業員が未承認のツールを使用する際は、意図的に内緒にしているのではありません。多くの場合は、リモートのワークフローでのギャップを埋めようとして、簡単な方法を探しているだけです。

自社のリモート従業員のニーズを理解して特定し、事前に対処しましょう。従業員が未承認のツールを使用することになった原因である、従業員が必要とするツールやサポートとは何でしょうか。社内のフィードバックの機会を利用して、従業員が自宅で感じている問題を評価し、役立つツールを提案する機会を従業員に提供できます。

Trello Enterprise では、従業員やチームに働き方をカスタマイズする方法を提供して、在宅勤務の設定のニーズを満たせます。150 を超える Power-Up と無制限に統合することで、従業員は作業を合理化して重要なデータを一元化できます。また、チームはボードを追加して、スタンドアップ、ブレーンストーミング セッション、社会的な交流など、以前はオフィスで行っていた作業を補完できます。

3. 安全なクラウド ベースのツールに切り替える

オンサイトのレガシー ソフトウェアから安全なクラウド ソリューションに切り替えることは、従業員の在宅勤務環境を保護する上で非常に効果的です。

Pulse Security のレポートでは、半数を超える (54%) 回答者が、新型コロナウイルスによって会社がクラウド ベースのツールの導入を早めたと認めていることがわかりました。これは、ある程度、従業員が自宅の作業場からツールにアクセスする必要があることに起因しています。 この需要の増加をサポートする処理能力が必要であることは、言うまでもありません。

また、クラウド ベースのツールを使用すると、従業員が VPN を経由して接続する必要がなくなります。クラウド ベースのツールに切り替えることによって従業員が既存の VPN を使用せずに済むため、スペースを解放して VPN をより効果的に動作させられます。または VPN を運用から完全に切り離せます。

Trello Enterprise はクラウドで動作するため、セキュリティとコンプライアンスはワークフローに組み込まれています。Trello では、Atlassian がサポートする SAML シングル サインオン (SSO) を提供します。SSO では、設定済みの ID プロバイダーを使用して承認されたユーザーを検証します。SSO によって、従業員がツールに簡単により素早くアクセスできます。複数の認証情報ではなく、複雑な認証情報を 1 セットのみ覚えておくことが求められます。また、ID プロバイダーと同期することで、従業員が退職する場合にログイン アクセスを削除するなど、あらゆる変更が即時に実行されます。

4. データ アクセスとユーザー権限を再検討する

在宅勤務の状況によって、セキュリティ リスクの増加だけでなく、物理的なオフィスにいながらセキュリティに取り組んでいなかった可能性があるデータ管理やセキュリティに注目が集まっています。より長期的なリモート ワークに移行することによって、従業員のデータへのアクセスをより詳しく確認することが必要になります。

GetApp の調査では、半数近く (48%) の企業の従業員が、仕事に必要なデータよりも多くのデータにアクセスしていたことがわかりました。潜在的な機密データへのアクセスが増加すると、サイバー攻撃の際にそのデータが漏えいする可能性が高くなります。

問題は、大多数の IT リーダー (80%) が、会社の業務全体での従業員のアクセスを正確に可視化できていないことです。ツールではそのアクセス情報を一元化するための設定メニューが構築されず、代わりに個々の従業員のプロフィール内に独自の設定が保存されます。会社に 500 人以上の従業員がいる場合は、従業員がアクセスできる情報を検証するためにドリル ダウンするのに、相当な時間がかかるということです。

このような場合に、権限ポリシーが役立ちます。企業によっては、「ゼロ トラスト」の観点から権限にアプローチしています。誰も信用できないという前提に立って、そこから権限を構築します。権限を個人ベースで付与している場合には時間がかかりますが、これが従業員が必要とするデータのみにアクセスを許可する方法なのです。

多くの場合、ロール ベースの権限ポリシーが ID プロバイダーから付与されて、従業員がグループまたはロールの一部であれば、ツール (およびそれに関する情報) にアクセスできます。たとえば、マーケティング部門の従業員は、マーケティング キャンペーンや戦略に関連するツール、またはデータにアクセスできます。

ここで良い知らせをお伝えします。Trello Enterprise では、Enterprise 管理者に一元化されたダッシュボードを提供します。これによって、管理者は会社全体での従業員のアクセス権限を確認 (して管理) できます。管理者は、従業員をさまざまなチームに割り当てたり、チームから削除したりできます。これによって、各従業員がアクセスできるボードやワークスペースを決定できます。

たとえば、財務チームがあるとします。ダッシュボード上で、管理者は、機密の財務データを含むすべてのボードとワークスペースでの権限を設定して、財務チームのメンバーのみがそれらのデータにアクセスできるようにします。その後、従業員をこのチームに追加したりチームから削除したりして、そのデータにアクセスできるようにしたりできないようにしたりします。

5. リモート ワークのセキュリティ リスクについて従業員を教育する

在宅勤務によって従業員の気が緩んでしまうと、その弱点を不当に利用してシステムにアクセスしようとする者に、付け入る隙を与えてしまいます。堅固な在宅勤務ポリシーと教育プログラムによって、この脅威への対策を講じましょう。

Microsoft の調査では、企業の投資が最も少なかったセキュリティ対策は、エンド ユーザーのセキュリティ教育だったことがわかりました。しかし、セキュリティ課題についてのユーザーの認識は、リモート従業員を有する企業にとっては今も主要なセキュリティ課題となっています。

FBI の報告では、パンデミックの初期の期間にサイバー攻撃が 400% 近く増加しましたが、セキュリティに関する教育がほとんど実施されていないこともあって、従業員は存在する脅威やそれを回避する方法を認識していません。

「PDF、MP4、DOCX などの形式による悪意のある添付ファイルを含んだ、新型コロナウイルスの状況に関連するメールが増加しています。このような危機的な時期にあって新型コロナウイルスの最新情報を入手しようとするユーザーは、そのような詐欺やフィッシング メールに対して油断する傾向があります」と、Cloudsine の創立者兼 CEO である Matthias Chin 氏は話します。

特にデータ セキュリティに関しては、誠実さが主要なポリシーとなります。従業員が自宅で業務上のテクノロジーを使用する際の期待事項についてオープンで誠実であることは、従業員の疑問 (疑問を持っていることに気づかないかもしれない) に答えるのに役立ちます。

また、上述のシャドー IT のインスタンスに関しても考慮します。シャドー IT への対策としては、使用できる/できないツールを一覧にするだけでなく、未承認のツールのリスクについて従業員に説明してください。これで、シャドー IT の行為を抑制できます。

Trello Enterprise を利用して、在宅勤務ポリシーを構築しましょう。従業員がトレーニング ビデオ、ポリシー、手順、最新の情報を検索できる、信頼性の高い専用のワークスペースやナレッジ ハブがあると、従業員は主要なセキュリティ課題について常に最新情報を得られます。また、チームもカードを活用して、重要なセキュリティのトピックについて質問して会話を始められます。

リモート ワークのデータ セキュリティは、全社的に取り組む

リモート ワークのセキュリティを確保するには、IT 部門やテクノロジーだけに責任を負わせないようにします。責任と認識の文化を育んで、会社と会社のデータを保護するためにすべての従業員が積極的に取り組むように促しましょう。

Trello Enterprise によって在宅勤務のセキュリティを維持する方法に関する詳細については、Trello Enterprise チームにお問い合わせいただいて、カスタマイズされたデモをご確認ください。


皆様からのご意見、ご要望はとても大切です。私たちの Twitter (@trello) もチェックしてください!

ページ トップに戻る

チームの生産性に変革を

チームの生産性を飛躍的に高める、Trello の柔軟な機能と統合をご紹介します。

開始する