ビジネスパーソンにオフィスの場所を尋ねると、おそらく「どこでも」という答えが返ってくるでしょう。彼らは自宅で仕事をし、旅行中も最新情報を入手し、営業電話の合間にメールのやり取りをしています。生産性を高めるために、多くの企業は従業員、そしておそらくクライアントやサービスプロバイダーにネットワークへのリモートアクセスを提供しています。システムへの外部入口が適切に防御されていることを確認するための措置を講じていますか?
ビジネスがセキュリティから始めたい場合は、ネットワークへのリモート アクセスを保護することが重要です。ここでは、FTC の調査、法執行機関の措置、企業から寄せられた質問に基づいた例をいくつか紹介します。
エンドポイントのセキュリティを確保します。
ネットワークの安全性は、ネットワークに接続する最も安全性の低いデバイスと同程度です。また、従業員の自宅のコンピューター、顧客のラップトップ、サービス プロバイダーのスマートフォンがセキュリティ基準を満たしているという保証はありません。ネットワークへのリモート アクセスを許可する前に、セキュリティの基本ルールを設定し、それを明確に伝え、従業員、顧客、またはサービス プロバイダーが準拠していることを確認してください。さらに、賢明な企業は、リモート アクセスに使用されるデバイスに、進化する脅威から保護するために設計された最新のソフトウェア、パッチ、その他のセキュリティ機能が確実に適用されるようにする措置を講じています。
例: 従業員が企業ネットワークにリモート アクセスできるようにする前に、企業はリモート アクセスに使用するデバイス上でファイアウォール、ウイルス対策保護、その他の保護手段の標準構成を確立し、定期的な社内トレーニングを実施します。また、従業員が会社のネットワークにアクセスするために入力する必要がある動的なセキュリティ コードを含むトークンも提供され、従業員のデバイスに必須のファイアウォール、ウイルス対策保護、その他の保護機能が確実に導入されるようにするための手順が維持されます。さらに、同社は新たな脅威を考慮して要件を定期的に再評価し、古いセキュリティを備えたデバイスによるリモート アクセスをブロックします。同社はエンドポイント セキュリティを継続的なプロセスとしてアプローチすることで、リモート アクセスに関連するリスクを軽減する措置を講じています。
例: あるエグゼクティブサーチ会社は、求職者に関する機密情報を含むファイルをネットワーク上に保管しています。将来の雇用主が検索会社を雇う場合、その会社は雇用主にそれらのファイルを閲覧するためのネットワークへのリモート アクセスを許可しますが、雇用主のコンピュータがファイアウォール、最新のウイルス対策ソフトウェア、またはその他のセキュリティ対策を使用しているかどうかは確認しません。より良いアプローチは、検索会社が自社のネットワークにリモートからアクセスしたい雇用主に対して最低限のセキュリティ基準を契約で要求し、自動ツールを使用して雇用主が要件を満たしていることを確認することだろう。
賢明なアクセス制限を設けます。
このブログ シリーズでは、次の必要性についてすでに説明しました。 データへのアクセスを賢明に制御する。セキュリティを重視する企業は、機密ファイルへの社内アクセスを、データをビジネス上必要とするスタッフに制限するのと同様に、リモート アクセスにも合理的な制限を設けています。
例: ある小売業者は、オンライン給与計算システムを刷新するために請負業者を雇っています。小売業者は請負業者に、タスクを完了するために必要なネットワークの部分へのリモート アクセスを許可しますが、請負業者がシステムの他の部分からアクセスすることを制限します。さらに、小売業者は作業が完了するとすぐに請負業者の許可を中止します。請負業者のリモート アクセスの範囲と期間を制限することで、小売業者はネットワーク上の機密データを保護する措置を講じています。
例: ある企業は、情報インフラストラクチャを更新することを決定し、社内ネットワーク上の多数のシステムにソフトウェアをリモートでインストールおよび保守するために複数のベンダーと契約を結びます。このプロジェクトは開始から完了まで 1 年かかると同社では見込んでいます。ベンダーは異なる時期にネットワークの異なる部分で作業するため、同社はユーザー アカウントを作成して、年間を通じて会社のネットワーク全体にわたる完全な管理特権を各ベンダーに提供します。これは企業にとってベンダー アカウントを管理する最も早い方法かもしれませんが、安全ではない選択です。より賢明な選択肢は、ベンダーの作業範囲へのアクセスを調整することです。たとえば、企業は、一部のベンダーが企業のネットワーク全体で管理アクセス権限なしで業務を遂行できるかどうかを判断する必要があります。他のベンダーは管理アクセスを必要とする場合がありますが、それは限られた期間のみです。さらに、特定のベンダーが管理アクセスを共有する複数の従業員を抱えている場合、企業はアカウントの使用を監査し、特定のベンダー従業員に帰属させることができる方法を実装する必要があります。
壁をブルドーザーで壊す強盗は多くありません。代わりに、ドア、窓、その他の外部入口の弱点を突きます。企業へのメッセージは、ネットワークへのリモート アクセスを許可する場合は、それらの入り口の防御に注意してくださいということです。
シリーズの次は: 新製品の開発時に健全なセキュリティ慣行を適用する
