新型コロナの影響で在宅勤務者が増えてきている中、 Pマークの規定上、修正すべき点はあるか?
新型コロナの影響で在宅勤務者が増えてきております。 Pマークの規定上、加筆・修正すべき点はありますでしょうか?
個人情報を持ち出したり、在宅にて扱うことは基本的にはないですが、 現状の規定上、会社のPCを持ち出すに必要な持出申請は各自行っております。
どうぞよろしくお願い申し上げます。
今回のような状況は、想定外のことが多く、セキュリティ確保も難しい状況が続いております。
もちろん、従業員の方が、新型コロナウイルスに感染防止することは大事ですが、例えば、新型コロナに関連したフィッシングや、ビデオ会議の利用機会が増えたことによる不正アクセスの増加、または通信手段(FAXやe-mailなど)において、誤送信による漏えいといった事故も多く起きています。
某社が実施した新型コロナウイルスが企業のセキュリティに与えている影響に関するアンケート調査結果によると、セキュリティ専門家の7割が、新型コロナウイルスの発生以降、セキュリティ脅威または攻撃が増加したと回答し、増加した脅威として、5割が「フィッシング攻撃」で、続いて「パンデミックに関する情報提供または提言を謳う不正Webサイト」、「マルウェア」、「ランサムウェア」となっているそうです。
また、回答者の9割以上が、新型コロナウイルスの感染拡大により、対処すべきITセキュリティ課題が増えたと答えており、セキュリティに関する今後の懸念として、「リモートワークへの対応」、「リモートアクセスのセキュリティ強化」、「エンドポイントセキュリティを拡大の必要性」を挙げているとのこと。
使い慣れていない又は利用し慣れていない手段を、適切に使用しなければいけない状況が続くことによる、ミスや他からの攻撃への対応が、今後は必要となってくるかと思います。
考えられる対策としては、例えば、以下のようなものがあるかと思います。
ご参考までに。
- 感染症対策に関するセキュリティポリシーをどうするか(既存のままにするか否か等)
- 現状における運用手順を、過去の経験やベンダー、メディアから得た情報をもとに見直す
- 緊急時のIT部門内の各役割を代替できる業務代行者の確保(トレーニング計画や採用枠の明確化など)
- 不正侵入検知および防止システムを最新に保ち、緊急時に備える
- ネットワークが中断されないようにする
- 攻撃を受けた疑いのある場合に実行する一連の行動などに関する手順の再確認
- インシデント発生時の役割と責任の再確認
- 適切なセキュリティ製品の採用と管理方法、及びシステム全体の通常運用の継続性確保
- 政府や自治体、保健所、関連機関から資料を入手
以上のような対策などを考慮し、人の健康とともに、セキュリティ面においても良好な状態を維持し、リスクに注意を払うことで、深刻な状況を回避できる可能性を高められると思われます。
参考までに、テレーワークはされていないみたいなので関係無いかもしれませんが、JIPDECがテレワークの留意点をHPで開示していますので紹介します。
https://privacymark.jp/news/system/2020/0420.html
