ハイブリッドワークの従業員用にセキュリティ計画を立てる

セキュリティ計画を立てるために やるべきことと、やるべきでないことを 紹介します。 人間が働いている以上、 ミスは必ず起こります。 無理強いや過度な干渉はしないよう 注意しましょう。 まずはやるべきことから紹介します。 データリスクについて定期的に 話し合うグループを設けます。 社外のコンサルタントや 当局の担当者を招いて、合法的かつ 責任ある方法でデータを保護する方法を 学ぶとよいでしょう。 年に一度、従業員に動画研修と ミニテストを行って、 詐欺やフィッシングに対する 警戒を怠らないよう教育します。 セクハラや差別などの コンプライアンス研修の一環として 組み込むとよいでしょう。 詐欺メールを わざと送って対応を テストする手もあります。 ハイブリッドワーク用に セキュリティ侵害発生時の報告先を 用意します。 従業員は、セキュリティ侵害やデバイスの 紛失に気付いたときに誰に報告し、 何をすべきかを把握している 必要があります。 警察に通報する、クライアントに報告する、 パスワードをリセットするなどです。 従業員が早期の報告をためらわないように、 罰則はないことを周知しておきましょう。 必要なツールとインターネット接続を 提供します。 例えば、多要素認証やデバイス追跡、 暗号化などを利用できるデバイスです。 会社に安全に接続できるように、 VPN や証明書による認証など、 暗号化された通信手段を提供します。 次に、やるべきでないことです。 ユーザーにデバイスの管理者権限を 与えてはなりません。 権限が強すぎるとマルウェアの侵入を 許す危険が高まります。 デバイスに未承認のアプリケーションの インストールを許可してはなりません。 Windows PC ならグループポリシー、 モバイルデバイスなら エンドポイントマネージャーなどで 制御できます。 モバイルデバイスの保護と 暗号化だけでなく、個人のデバイスを 業務に使う場合に仕事用と私用の アプリを分離できます。 フリー Wi-Fi への接続を 許可してはなりません。 VPN を使っていたとしても、 中間者攻撃によってオフィスとの 通信途中にデータを盗まれる 恐れがあります。 攻撃者は偽のアクセスポイントを作成し、 ユーザーが接続すると、 オフィスへの送信データが暗号化される 前にデータを盗みます。 ユーザーはフリー…