緊急事態宣言解除後に見直したいセキュリティ・チェックリスト
更新日 : 2022年08月22日
新型コロナウイルスの感染拡大を防止するため全国に発令されていた緊急事態宣言が、全ての地域で解除されました。企業や組織によっては引き続きテレワークを継続する場合もあるかもしれませんが、徐々にオフィスへ出勤される方も増えてきていることかと思います。
テレワークは、思わぬセキュリティリスクに巻き込まれやすい環境です。今回は、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が作成した緊急事態宣言解除後のセキュリティ・チェックリストをご紹介します。テレワーク環境をよりセキュアにするためにもぜひご活用ください。
〔全24問〕緊急事態宣言解除後のセキュリティ・チェックリスト
Wordファイルにてチェックし印刷されたいという方は、JNSA公式サイト(こちら)からダウンロードいただけます。
また、右に表示されるチャットボットでもご確認・回答結果をメールで送信します。ぜひご活用ください。
1.停止したシステムの再稼働における注意事項
| 長期間停止していたシステムの動作確認を行った | |
|
長期間停止していたシステム構成機器のセキュリティ対策の最新化を行った(OS・ソフトウェアの最新化、アンチウイルスソフト定義ファイルの最新化など) |
2.テレワークで社外に持ち出した機器を社内NWに接続する際の注意事項
| 長期間停止していたシステムの動作確認を行った | |
|
長期間停止していたシステム構成機器のセキュリティ対策の最新化を行った(OS・ソフトウェアの最新化、アンチウイルスソフト定義ファイルの最新化など) |
|
|
持ち出した機器(端末や外部記憶媒体など)がマルウェアに感染していないか確認した |
|
| 無許可のソフトウェアがインストールされていないか確認した | |
| テレワーク期間中に、社内システムに不正アクセスされていないかログなどを確認した | |
| 社内ネットワークに接続した端末から不審な通信が行われていないか監視を一定期間強化する |
3.緊急措置としてテレワークを許可した業務やルールを変更した業務の扱い
| 緊急措置として許可した私物端末利用(BYOD)の利用実態について確認した(私物端末のセキュリティ対策やマルウェア感染の有無、私物端末に保存されていた業務関連資料の削除確認など) | |
|
緊急措置としてテレワークを許可していた業務やルールを変更した業務のリスクを再評価した |
|
|
再評価により、リスクが許容できると判断された業務については、引続きテレワークを継続すべく、必要に応じてセキュリティポリシーなどの改訂を行うことを検討した |
|
| 再評価により、リスクが高いと判断された業務については、一旦元の運用に戻し、テレワークができる手段を検討したうえで、テレワークの可否を判断した |
4.Withコロナフェーズに向けた、業務見直しとセキュリティ対策
| 第二波など緊急事態宣言の再要請に備え、業務移行の手順、必要なサービスを整理した | |
|
テレワークにより負荷が集中した従業員や業務の洗い出しと対応の見直しを行った |
|
|
テレワークにより負荷が集中したサービスの洗い出しと対応の見直しを行った |
|
| テレワークにより業務効率が下がった業務の洗い出しと対応の見直しを行った | |
| テレワークにできなかった業務の洗い出しと今後の対応について検討した | |
| 脱押印のためのオンラインワークフローや電子署名サービスの導入について検討した | |
| 社内業務だけでなく、顧客や外部委託先との契約上、テレワーク化することができない業務やサービスについて、テレワークができる手段を検討し、顧客や外部委託先と協議の上、必要に応じて契約条件の見直しを検討した | |
| 今までのIT投資やセキュリティ対策の優先順位を見直し、テレワークを前提とした社内IT投資やセキュリティ対策について検討した | |
| テレワークを前提としたシステム構成管理やログ設定の見直しを行った | |
| クラウドサービスや社内外で安全かつシームレスに業務を実施するためのゼロトラストネットワークの導入を推進中・推進した | |
| テレワークを前提としたセキュリティインシデント発生時の体制や対応について再検討を行うと共に、そのための教育や訓練を実施中・実施した | |
| これを機会に、リスクの再評価を行い、セキュリティポリシーにおいて形骸化した項目を見直すと共に、社員などへの周知やセキュリティリテラシーの向上を行った |