テレワークにおけるネットワークと情報セキュリティの考え方とは？

社内LANなどのエリア（セグメント）毎にアクセス制限を敷いているようなものを境界型ネットワーク、認証された端末のアクセスを行うものをゼロトラストと分類することができます。（細かいことは割愛します。）

当社ではその両方を活用してネットワークの帯域を節約しています。
そもそも企業のインターネット回線の帯域は、人数に対して狭すぎる傾向があります。
そのため、複数人がWeb会議や大きなファイルのやり取りをしただけでパンクしてしまうことがあり、オフィス内では快適だったのに在宅では遅くて仕事が捗らなくなる恐れがあります。

当社では、外出の合間の時間の有効活用や突発的なシステム障害などに備えクラウドサービスを積極的に利用するようにしていたことと、承認された端末は、特定のクラウドサービスへのアクセスを許可してVPN接続を不要にしています。

この対応により、VPN回線の境界型ネットワークと承認された端末のゼロトラストのハイブリッド運用でセキュリティを保ちつつ、帯域不足に陥らずに業務が継続できています。

このような運用について、
「CRM提供してる会社なのにそれってセキュリティは大丈夫なの？」
と心配になられる方もいらっしゃるのではないでしょうか。
ご安心ください。次の章ではセキュリティに対する弊社の考え方をご紹介いたします。

弊社は顧客情報を預かっていることもあり、ISMS準拠の情報セキュリティの考え方に基づいて、社内のルール整備や情報管理に努めています。

参考：ISMS（情報セキュリティマネジメントシステム）とは

当社及び当社お客様の事業継続の観点からも、法令順守だけでなく情報セキュリティへの取り組みの意識が強い部分があります。

ただし、情報管理を厳しくしていくことで業務効率の低下を招くことがあります。例えば、以下のようなものです。
例えば、以下のようなものです。

1. PCの持ち出し制限により営業の合間に報告が書けない
2. 外から顧客情報が見れなくて隙間時間に次の訪問準備ができない
3. 営業の報告が見れないので、適切なサポートができない
4. 顧客からの問い合わせ情報が共有されていないので、訪問してみたらクレームが入っていて怒られた

1 と2 は、外部からのアクセスに対する準備不足。

3 と4 は、都度担当に話を聞きに行くのかと言えばそれはあまりにも非効率です。

そこで、当社は以下のような分類で情報を仕分けしてアクセス制限を設けています。

• 一般情報
  • 誰しもが知れる情報一般情報
• 機密情報
  • 社内または社外の特定の人しか知りえない情報
• 個人情報
  • 個人を特定するのに十分な情報

厳密には機密情報も複数のレベル分けをしており、社内の機密か社外の機密か、漏洩したときのリスクレベルが高いものか、という判断基準を設けています。
しかし、あまり細かくしすぎると権限設定自体にミスが起こりやすいことや、誰が何にアクセスできるのか分からなくなってきます。
思わぬ事故を避けるために可能な限りシンプルな設計にして運用しています。

これにより必要な人が必要十分な情報にアクセスでき、業務効率の低下を可能な限り防ぎながら、セキュリティを確保するように努めています。

クラウドサービスであっても、VPN回線を通さなければ繋げないようにしている企業も多いですが、何でもVPN回線越しのアクセスになると帯域が不足しますので注意が必要です。

会社によって事情が異なるため詳しい方に聞いていただききたいところではありますが、Proxyサーバを導入していてもスクリプトによる自動構成などもできますので、VPNの接続や切断をせずに運用していくことは可能です。

また、セキュリティ面を意識すると情報管理はどうしても細かくし過ぎてしまう傾向があります。
この場合思わぬ事故に繋がりかねないため、ポイントを押さえつつ、可能な限りシンプルにすることをお勧めします。