テレワークについて・・・・(参考になれば・・・)

得意先企業でテレワークの話を相談されますが問題点

どんな根拠かわかりませんが、得意先で蔓延している「簡単にできるだろう論」が幅を利かしています。確かに簡単に作ろうと思ったら、セキュリティーを無視してネットワークだけで運用も可能ですが「企業ガバナンス」はどうするという話です。

企業ガバナンスとは
組織内での適切な意思決定と責任の明確化を促進するための枠組みです。情報セキュリティーは企業ガバナンスの一部であり、組織の情報資産を保護するために適切な対策を講じることが求められます。

必要なセキュリティなどのを検討

情報漏洩を防ぐために、社外から社内ネットワークに安全に接続するためには、VPN(仮想プライベートネットワーク)接続が必要です。

VPN(仮想プライベートネットワーク)とは
インターネットを経由してデータをやり取りする際に暗号化されたトンネルを作り、安全性を確保する事

また、VPN接続を確立する前に、プロキシサーバーを介して通信する必要があります。プロキシサーバーは、社内ネットワークへのアクセスを制御し、セキュリティ上のリスクを軽減する役割を果たします。通常、社外からのアクセスはプロキシサーバーを経由して行われ、その後にVPN接続が確立されます。

ただし、一度VPN接続が確立されれば、社内へのアクセスは比較的容易になります。VPN接続が確立された状態では、通常のネットワーク接続と同様に社内リソースにアクセスすることができます。

以上のように、VPN接続とプロキシサーバーは、社外から社内ネットワークへの安全なアクセスを確保するために重要な要素となります。

システム的な問題

基幹業務が外部接続を想定されているか

受注システムや出荷システムの運用が外部接続が可能か確認が必要(経理や人事など基幹システムを使わない人には対象外)最近はクラウドなどのシステムも多く、必要最低限の設定で運用可能な場合が多い。

セキュリティー対策
  外部接続への ユーザー・パスワード
  ログイン履歴の取得
  ハッキング対策(操作履歴など)

不正された場合の対処するために必要な情報です。

社内サーバーへの権限の追加

外部アクセス検眼が必要になります。ネットワークアクセスと同じでも問題ないと思いますが、出来るだけ範囲を小さくしておいた方がいいと思われます

外部から社内へ接続するためのPCの設定

外部アクセス用のログインとパスワードなど必要になります。またパスワードなど漏洩しないように、教育も必要かもしれません。

社内運用方法の問題

運用方法の確立

どの部署がどのように在宅で運用するか把握が必要になります。

個人情報・企業営業情報の取り扱い

外部からアクセスした場合の権限が必要で、どこまでの処理を外部アクセスさせるかが問題になります。

注意 ・・・ 個人のパソコンに接続なんて問題外!

社内のパソコンは、個人が思っている以上にセキュリティーやお金、時間も手間も掛けているんですよ。
それに営業情報や個人情報が、社内以外のパソコンに残ってしまう可能性もあり、情報の扱いが非常に危険にさらされます。

Posted by SEとシステム管理は終わらない