連載
» 2020年06月16日 07時00分 公開

半径300メートルのIT:緊急事態宣言が解除――ところで御社の“緊急事態”は解除されましたか? (1/2)

2020年5月25日、政府が緊急事態宣言を解除しました。その後“東京アラート”が発令されましたが後に解除され、COVID-19対応は新たなステップに移行しつつあります。

[宮田健,ITmedia]

 新型コロナウイルス感染症(COVID-19)は、われわれに強制的な働き方改革をもたらしました。おそらく緊急事態宣言が発令されるまでは、テレワークを「絵に描いた餅」あるいは「自社のビジネスには無関係なもの」と捉えていた方も多かったことと思います。しかし同宣言の発令によって、これまでテレワークをごく一部で限定的に試していたような企業から一切企業導入していなかった企業まで、全社展開を余儀なくされました。

Web会議に子供が乱入するシーンもずいぶん見慣れてきました Web会議に子供が乱入するシーンもずいぶん見慣れてきました

 現在ほとんどの企業が、どうにか社員を安全な場所に待機させ、その上でなんとかビジネスを回しているような状況です。大きな声では言えないけれど、VPNやBYOD、エンドポイント管理、安全な通信経路の確保といったセキュリティ対策を「それどころではない」と放置しているケースも、実は多いのではないでしょうか。しかし、これはある意味仕方のないことです。何せ、われわれが初めて経験する人類史に残る危機です。世界中の誰もが経験したことのない状況で、できることをやっているのですから。

 しかし感染症の流行は永遠には続きません。また、われわれは新しい生活様式を身に着け、経済活動を再開させなければなりません。社会が再び動き出そうという現在こそが、一時的に放置していたセキュリティを見直す最適なタイミングです。

止めていたものを動かす、外に出すはずのないものが戻る

 緊急避難的なテレワークにおいては、企業も個人も十分な準備ができませんでした。そのため「実は企業のポリシーを無視していた」という方もいたと思います。具体的には「自宅の個人PCで会社のVPNに接続する」や「IT部門が認可していない、便利な外部サービスに登録する」などです。これらは本来、ポリシーを基にガバナンスを効かせた上で、相当に注意をして行うべきことでした。

 それでは、これから何をすべきなのでしょうか。あまりにも急な変化だったため、「見直すと言っても、どこから?」と戸惑ってしまうかもしれません。そんな組織に向けて日本ネットワークセキュリティ協会(JNSA)が、緊急事態宣言が解除されたタイミングで「緊急事態宣言解除後のセキュリティ・チェックリスト」を公開しています。

 このチェックリストではチェックするべき大項目として、以下の4つが挙げられています。

  • 停止したシステムの再稼働における注意事項
  • テレワークで社外に持ち出した機器を社内NWに接続する際の注意事項
  • 緊急措置としてテレワークを許可した業務やルールを変更した業務の扱い
  • Withコロナフェーズに向けた、業務見直しとセキュリティ対策

 緊急事態宣言の解除に伴ってオフィスに「人」と「デバイス」が戻ってくるタイミングは、テレワーク開始時と同じくらいのカオスな状況になるはず。オフィスに置かれたPCは2カ月ぶりに電源を入れることになるかもしれません。その間、本来なら実施されているはずだった脆弱(ぜいじゃく)性アップデートがたくさんあります。まずはOSやアプリのセキュリティアップデートが必要でしょう。

 重要なのは“デバイス管理”です。テレワークで外に持ち出したデバイスは、一時的に企業による保護の範囲外に出ています。そのため、まずは全てのデバイスを“信用できないデバイス”とみなし、マルウェアの感染が起きていないか、無許可のソフトウェアがインストールされていないかといった確認をする必要があるでしょう。

 これらのデバイスは本来であれば外に持ち出すこともなく、定期的なアップデートが適用されていたはずでした。まずはチェックリストを用いて「平常に戻す」ことから始めましょう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ