リモートワーカーによるデータ漏洩の防止

公開: 2024-07-25

リモート ワーカーの雇用には多くの利点があるにもかかわらず、リモート ワークに関連する内部関係者の脅威やデータ漏洩のリスクが大幅に増加しています。 これは、ビジネスの世界に足を踏み入れたばかりのスタートアップのオーナーはもちろんのこと、ビジネス分野の専門家にとってさえも懸案となっている問題です。

Titan Security Europe は 10 年間完全にリモートで運用してきました。 リモートワーク分野の専門家として、リモート従業員と連携する際のデータ漏洩からビジネスを守るためのサイバーセキュリティと物理セキュリティの観点からアドバイスを提供します。

統計

リモート ワーカーからのデータ漏洩を防ぐために何ができるかを説明する前に、事実を知ることが重要です。

Wifi Talents によると、リモート作業時のサイバーセキュリティの脅威に関する統計は次のとおりです。

  • IT プロフェッショナルの 75% は、リモートワークに切り替えたことで、企業はサイバー脅威に対してさらに脆弱になったと述べています。
  • IT プロフェッショナルの 55% 以上は、在宅勤務者よりもリモート勤務者の方が会社のポリシーに違反する可能性が高く、漏洩のリスクが高いと考えています。
  • サイバーセキュリティ侵害の 95% は人的ミスが原因です。
  • リモートワーカーの 80% は適切なサイバーセキュリティトレーニングを受けていません。
  • 企業はリモート ワーカーにより、週に平均 22 件のセキュリティ脅威にさらされています。

これらの統計はリモート ワーカーに関する重大な問題を示していますが、このことを理由にスタートアップ企業にリモート ワーカーを雇用することを思いとどまらないでください。 リスクをうまく管理できれば、メリットはリスクを上回ります。

問題にどう対処するか

リモート ワーカーに関しては、データに関して発生する可能性のある特定のセキュリティ上の懸念があります。 これらの問題に対処するために、企業と従業員の両方が講じることができる手順があります。

安全ではない脆弱なハードウェア

従業員が個人用の安全でないデバイスを使用すると、データ漏洩につながる可能性があります。 これらのデバイスには、会社のデバイスが持つセキュリティ レベルがないことが多く、仕事用ファイルと個人用ファイルが混在すると、不注意による漏洩につながる可能性があります。

何ができるでしょうか?

  • 以下のプロセスがインストールされた会社のデバイスを従業員に提供します。 不可能な場合は、従業員が作業するデバイスに次のものをインストールしていることを確認してください。
    • 多要素認証: ユーザーが複数の手順に従うことによってのみデバイスまたはサーバーにログインできるようにするシステム。 たとえば、パスワードに加えて、別のデバイスにコードを送信したり、指紋を使用したり、秘密の質問に答えたりする必要があります。MFA ソフトウェアの例には、JumpCloud、ManageEngine、Cisco Secure などが含まれます。
    • エンドポイント セキュリティ: ネットワークに接続されているすべてのデバイスを保護する実践であり、エンドポイント保護プラットフォームはネットワークに侵入するすべてのファイルを検査し、マルウェアや脅威を迅速に検出できるようにします。 エンドポイント セキュリティの例には、Cisco Secure、WatchGuard、Avast Business Security などが含まれます。
    • 暗号化ソフトウェア: 仕事に使用されるデバイスにインストールされているファイルおよびデータ暗号化ソフトウェアは、すべてのデータが許可なく変更されたり、盗まれたり、侵害されたりすることを防ぎます。 暗号化ソフトウェアには、Secure IT、Folder Lock、Kruptos 2 Professional などがあります。
  • 上記のプログラムで設定されたデバイスのみが仕事に使用できることを示すリモート ワーク ポリシーを設定します。

従業員は何ができるのでしょうか?

  • 設定されたポリシーに従い、会社が提供するデバイスでのみ動作します。
  • 可能な限り、会社のデバイスを私用に使用しないでください。

安全ではない脆弱なネットワーク

リモートワークにおけるセキュリティ上の最大の懸念事項の 1 つは、セキュリティが確保されておらず脆弱なネットワークです。 個人の在宅ネットワークは通常は問題ありませんが、安全でないパブリック ネットワークではデバイスが非常に脆弱なままになります。

何ができるでしょうか?

  • デバイスのデータベースではなくサーバー (特に MFA または暗号化されたデータを備えたサーバー) にデータを保存することで、デバイスが安全でないネットワークにログオンしている場合でも、機密データを確実に保護できます。
  • データはデバイスとは別に保存されるため、安全でないネットワークを通じてデバイスが侵害された場合でも、データは安全に保たれます。

従業員は何ができるのでしょうか?

  • 可能であれば、パブリック ネットワークを避けてください。
  • 個人用ホットスポットを使用するか、公共の場ではオフラインで作業します。
  • VPN を使用して接続を保護します。

データ処理の見落としが少なくなる

従業員全員が在宅勤務になると、セキュリティ チームがデータの処理を監視することがはるかに困難になります。 彼らが懸念すべきデバイス、サーバー、ネットワークは他にもあります。 また、従業員が公共の場でラップトップを開いたままにし、一般の人々が機密データを閲覧するリスクもあります。

何ができるでしょうか?

  • データがすべてサーバー内に保持され、ダウンロードや共有ができない場合、データの取り扱いのリスクははるかに低くなります。
  • データをダウンロードして使用する必要がある場合は、従業員が使用中のデータを使い終わったらすぐにクラウドに再アップロードし、自分のデバイスから削除することをポリシーで強制します。
  • リモートワーカーが使用できるように、会社支給のデバイスに追跡ソフトウェアを実装します。 これにより、セキュリティ チームは個々のデバイスでのデータ処理を追跡できるようになります。
  • システムにアクセスするすべてのデバイスの詳細がロックされていることを確認してください。これにより、セキュリティ チームは、紛失または盗難が報告された瞬間に、必要なソフトウェアを使用してデバイスから会社のすべてのパスワード、データ、または文書を消去できます。

従業員は何ができるのでしょうか?

  • デバイスの紛失は発生したらすぐに報告してください。
  • 可能な限り公共の場での作業は避けてください。 そうでない場合は、他の人が画面を見られないようにしてください。

電子メール詐欺とフィッシングの危険性

リモート ワーカーは、他の従業員と同様に、フィッシングや電子メール詐欺の危険にさらされています。 企業環境から離れると、不注意や認識の変化が生じ、リモートワーカーが影響を受けやすくなる可能性があります。 また、同じ部屋にいない場合、従業員は電子メールが同僚から来たものであるかどうかを確認することができなくなります。

何ができるでしょうか?

  • 会話を循環させます。 潜在的な詐欺を見分ける方法と、従業員が詐欺に遭っていると思った場合の対処法に関するセミナーを実施します。
  • 従業員にフィッシング詐欺の最新情報を常に知らせます。
  • 従業員の電子メールを監視し、詐欺の可能性を排除します。

従業員は何ができるのでしょうか?

  • 詐欺の可能性があると思われるメールはすぐに上司に送信してください。
  • 知らない人からのリンクは開かないようにしてください。
  • メールが審査されるまでは、同僚や既知の顧客からのメールにのみ返信してください。
  • 電話番号など、すべての同僚の電子メール以外の連絡先詳細を把握します。 これらを使用して、電子メールが同僚によって送信されたかどうかを確認します。

無人のデバイス

オフィスと同様に、無人デバイスはセキュリティ上の大きなリスクになります。しかし、リモートワークでは、他の従業員だけでなく誰もが内部に保持されているデータにアクセスできるため、さらにリスクが高くなります。

何ができるでしょうか?

  • デバイス上のあらゆるデータをパスワードで保護します。
    • 前述の MFA は、追加のセキュリティ層を提供します。
    • データが暗号化されていることを確認します。 これにより、非常に特殊なデジタル キーを使用しない限り、データがごちゃ混ぜになり、読み取り不可能な形式になります。 この特定のデジタル キーは、そのデータにアクセスする必要がある従業員のみが知っています。
  • データが直前に閉鎖されたばかりであっても、データにアクセスするたびに MFA を使用したログインが必要になるようにします。
  • 従業員は、そのデータへのパスワードを持っているだけで、必要な特定のデータへのアクセスが許可されます。 たとえば、営業担当者は人事情報にアクセスする必要はありません。

従業員は何ができるのでしょうか?

  • パスワード保護 – マカフィーは、パスワードを強力にするために、パスワードに大文字、小文字、特殊文字、数字を含めることを推奨しています。 すべての仕事用デバイスには、従業員が他の人に漏らさない固有のパスワードを設定する必要があります。
    • MFA: 従業員は、MFA コードを送信するための信頼できるデバイス、または答えを自分だけが知っている個人的な秘密の質問を持っている必要があります。
  • 決して公共の場でデバイスを放置しないでください。
  • デバイスを使用していないときは、必ずロックしてください。

コンプライアンスとデータ規制

セキュリティ チームは、データの取り扱いが GDPR 規制に準拠していることを確認する必要があります。

  • ポリシーが設定されていないと、従業員はデータ アクセスと管理に関して GDPR 規制を簡単に破ってしまいます。
  • 従業員がアクセスできるデータを制限し、上で概説したセキュリティ対策を導入することで、法的なセキュリティ規制への準拠がはるかに容易になります。

セキュリティと従業員の信頼を両立させる

会社のデータを過失、さらには悪意のある漏洩や内部関係者による攻撃から確実に保護することが不可欠です。 ただし、自分が信頼されているということを従業員に確実に知らせることも同様に重要です。

セキュリティと従業員の信頼を両立させるのは難しい場合があります。 これを管理するためのヒントとコツをいくつか紹介します。

  • 従業員に知らせてください。 どのようなセキュリティ対策を講じているかを従業員に正確に伝え、その理由も伝えてください。これはデータを保護するための安全ブランケットであり、信頼の問題ではありません。
  • 彼らに事実を伝えてください。 データ漏洩のほとんどは無実の間違いや過失から発生することを説明します。
  • ある程度のプライバシーを考慮してください。 データベース、企業サイト、ビジネスコミュニケーションなど、追跡する必要があるものは追跡しますが、デバイス上で行われたすべての動きを追跡するわけではありません。 従業員は、自分の一挙手一投足が監視されていると感じてはなりません。
  • 会話を循環させます。 データ漏洩や脅威などについて話し合う仮想会議を開催します。 主張の正しさを証明するために、データ漏洩の記事を送信します。 従業員にデータ漏洩とそれを防ぐために何ができるかについて話してもらいます。

結論

リモートワーカーに関しては、メリットとリスクの両方を考慮することが不可欠です。

オフィススペースを借りることを気にせずに従業員を雇用できるため、新興企業にとって効率的で費用対効果が高いです。 また、リモートワーカーはモチベーションが高く、リモートワークのワークライフバランスを楽しむ傾向があります。

ただし、潜在的なセキュリティ漏洩を考慮して準備する必要があります。 これは従業員を信頼するということではありません。漏洩の大部分が人為的ミスによるものである場合も同様です。 リモートワーカーが漏洩の可能性を最小限に抑えながら、必要なデータに確実にアクセスできるように、可能な限りあらゆる措置を講じることが重要です。