リモートワークを行う企業は、データの保護と従業員のアクセス管理に特別な措置を講じる必要があります。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
EU一般データ保護規則(GDPR)は、個人データの収集、処理、保管、転送に関する枠組みを確立する包括的なデータプライバシー法です。この法律では、すべての個人データを安全な方法で処理することが求められており、これらの要件に従わない事業者に対する罰金や罰則も含まれています。
どのようなビジネスにおいても、GDPR準拠は課題となることが多く、リモートワークを行うと、さらに複雑性が増すことになります。従業員と契約者全員または一部が在宅勤務している場合、内部データ保護チームによるデータセキュリティの管理能力と可視性が低下することがあります。強硬なリモートアクセスセキュリティポリシーを持つことで、GDPRが保護する個人データと企業機密データの安全装置として役立ちます。
リモートアクセスポリシーとは、リモートワークの従業員と使用されるデバイスの一連のセキュリティ基準です。こうしたポリシーは通常、企業のITチームまたはセキュリティチームが策定します。リモートアクセスに関するセキュリティポリシーに含まれるものとしては、バーチャルプライベートネットワーク(VPN)の使用、従業員のデバイスへのマルウェア対策のインストール、他要素認証(MFA)が挙げられます。
GDPRが定める一連の規制は非常に幅広いものです。中でも、データ管理者とデータ処理者が取るべきいくつかの具体的な行動が要求されています。その一部を紹介します。
データ管理者および処理者に対する完全な要件については、GDPR に記載されています。
GDPRにおいてデータセキュリティは主要事項であるため、自宅から仕事をすることを許可している企業は、従業員が遠隔からアクセスするデータを保護するために正しい段取りを踏むように確認する必要があります。
したがって、次の手順はリモートアクセスポリシーで非常に大事な部分なのです(完全なリストではありません):
転送中のデータとは、A地点からB地点に移動するデータのことで、たとえば、SaaSアプリケーションとユーザーデバイス間を通過するデータのことです。停止中のデータとは、ユーザーのラップトップのハードドライブ上のデータなどを指します。どちらの場合も、データは安全が確保されていなければなりません。
アクセス制御と暗号化は、データ保護のためにカギとなるテクノロジーです。リモートワークをする従業員も、全ての従業員と同じように、個人データにアクセスする正当な理由がなければなりませんし、データへのアクセスは追跡、そして管理される必要があります。IDおよびアクセス管理(IAM)テクノロジーが、権限のない人物がデータを表示したり改ざんしたりできないように防止しています。
さらに、インターネットを含めてネットワークを移動するデータは、HTTPS、VPNや他の方法で暗号化される必要があります。(クラウドベースのアプリケーションはリモートワークの従業員に関する規則を準拠することができます。詳しくは、こちらのビジネスVPNに関する記事をご覧ください。)加えて、データが保存中、またはサーバーやハードウェアで「停止中」の時でも暗号化されていなければなりません。これを実現するには、ITチームが全てのデバイスで、場合によっては従業員個人のデバイスでも、暗号化に関するセキュリティポリシーを適用する必要があります。
リモートワークの従業員のエンドポイントデバイス(ノートパソコン、デスクトップコンピューター、スマートフォンなど)は、マルウェアの感染がデータ漏えいにつながるため、サイバー攻撃から保護する必要があります。デバイスには、最低でもマルウェア対策ソフトウェアがインストールされている必要があります。セキュアWebゲートウェイでも、インターネットをブラウザする従業員らを保護することができます。
マルウェアの感染よりもさらに一般的なのが、デバイスの紛失です。機密データがローカルに保存されているラップトップやスマートフォンを、従業員が誤って公共スペースにおいてきてしまうケースです。これが、デバイスの暗号化が極めて重要である理由の一つです。
フィッシング攻撃は、依然としてデータ漏えいで最も一般的な原因の一つです。フィッシング攻撃とは、攻撃者がユーザーをだましてログイン認証情報を送信させ、ユーザーアカウントを乗っ取ってしまうことです。アカウントの乗っ取りとは、攻撃者が組織内に侵入し、消費者データの表示、漏えい、窃盗ができてしまうため、準拠し続けようと努力する企業にとって悲惨な結果となってしまいます。
ブルートフォースとパスワードスプレー攻撃も、アカウント乗っ取りにつながることがあり、企業は強硬なパスワードポリシーを適用するべきです。いかなる従業員のパスワードでも推測できる人がいることは許されませんし、パスワードもボット攻撃のほとんどに耐えられるものである必要があります。可能であれば、企業が使用中の企業アプリケーションで二要素認証を実装させるべきでしょう。
アカウント乗っ取り攻撃を防止する方法についてご覧ください。
利用開始
アクセス管理について
ゼロトラストについて
VPNリソース
用語集