fbpx

テレワークにおけるネットワークと情報セキュリティの考え方とは?


作成2022/8/5

一般化するテレワーク


テレワークにおける情報セキュリティ


新型コロナウィルスが蔓延し、当社でもテレワークを実施してきました。
この状況を背景に、一時的ではなくテレワーク自体を標準とする企業も増えてきています。
その一方で、いまだにテレワークに切り替えられない企業や、テレワークを実施してはいるものの新たな課題が出てきたというような企業もでてきているのが実情です。

特にテレワークにおいて悩みの種となるのがセキュリティ面。
当社はオフィスがもともと東京と大分で分かれていることから、コロナ前からネットワークやセキュリティ面について問題なく運用できるような体制を整えていました。
今回は新たにテレワークを実施されたい、またはテレワークのセキュリティを見直したいという方に向けてネットワークと情報セキュリティ面に対する当社の考え方をご紹介します。


境界型ネットワークとゼロトラストのハイブリッド運用


社内LANなどのエリア(セグメント)毎にアクセス制限を敷いているようなものを境界型ネットワーク、認証された端末のアクセスを行うものをゼロトラストと分類することができます。(細かいことは割愛します。)

当社ではその両方を活用してネットワークの帯域を節約しています。
そもそも企業のインターネット回線の帯域は、人数に対して狭すぎる傾向があります。

そのため、複数人がWeb会議や大きなファイルのやり取りをしただけでパンクしてしまうことがあり、オフィス内では快適だったのに在宅では遅くて仕事が捗らなくなる恐れがあります。

当社では、外出の合間の時間の有効活用や突発的なシステム障害などに備えクラウドサービスを積極的に利用するようにしていたことと、承認された端末は、特定のクラウドサービスへのアクセスを許可してVPN接続を不要にしています。

この対応により、VPN回線の境界型ネットワークと承認された端末のゼロトラストのハイブリッド運用でセキュリティを保ちつつ、帯域不足に陥らずに業務が継続できています。

このような運用について、
「CRM提供してる会社なのにそれってセキュリティは大丈夫なの?」
と心配になられる方もいらっしゃるのではないでしょうか。
ご安心ください。次の章ではセキュリティに対する弊社の考え方をご紹介いたします。

CRMの費用形態


情報セキュリティの考え方


弊社は顧客情報を預かっていることもあり、ISMS準拠の情報セキュリティの考え方に基づいて、社内のルール整備や情報管理に努めています。


当社及び当社お客様の事業継続の観点からも、法令順守だけでなく情報セキュリティへの取り組みの意識が強い部分があります。

そのことを踏まえながら、弊社は多くの社員が外出する機会が多いことや、突発的なシステム障害に対応する必要があるため、社外の作業を想定したルールを整えてきました。

業務効率と情報セキュリティ


ただし、情報管理を厳しくしていくことで業務効率の低下を招くことがあります。 例えば、以下のようなものです。

例えば、以下のようなものです。

  •  PCの持ち出し制限により営業の合間に報告が書けない
  •  外から顧客情報が見れなくて隙間時間に次の訪問準備ができない
  •  営業の報告が見れないので、適切なサポートができない
  •  顧客からの問い合わせ情報が共有されていないので、訪問してみたらクレームが入っていて怒られた

1 と2 は、外部からのアクセスに対する準備不足。
3 と4 は、都度担当に話を聞きに行くのかと言えばそれはあまりにも非効率です。

そこで、当社は以下のような分類で情報を仕分けしてアクセス制限を設けています。

一般情報

誰しもが知れる情報

機密情報

社内または社外の特定の人しか知りえない情報

個人情報

個人を特定するのに十分な情報


厳密には機密情報も複数のレベル分けをしており、社内の機密か社外の機密か、漏洩したときのリスクレベルが高いものか、という判断基準を設けています。
しかし、あまり細かくしすぎると権限設定自体にミスが起こりやすいことや、誰が何にアクセスできるのか分からなくなってきます。
思わぬ事故を避けるために可能な限りシンプルな設計にして運用しています。

これにより必要な人が必要十分な情報にアクセスでき、業務効率の低下を可能な限り防ぎながら、セキュリティを確保するように努めています。

CRMの費用形態


まとめ


クラウドサービスであっても、VPN回線を通さなければ繋げないようにしている企業も多いですが、何でもVPN回線越しのアクセスになると帯域が不足しますので注意が必要です。

会社によって事情が異なるため詳しい方に聞いていただききたいところではありますが、Proxyサーバを導入していてもスクリプトによる自動構成などもできますので、VPNの接続や切断をせずに運用していくことは可能です。

また、セキュリティ面を意識すると情報管理はどうしても細かくし過ぎてしまう傾向があります。
この場合思わぬ事故に繋がりかねないため、ポイントを押さえつつ、可能な限りシンプルにすることをお勧めします。