リモートワーク時の情報セキュリティに関する研修を受講しました

CPDの期限ももうすぐということで、JICPAの「知っておきたい、リモートワーク時の情報セキュリティ」研修を視聴してみました。

結論としては、当たり前のことをちゃんとやろうということなのですが、じゃあその「当たり前のこと」とは何か、ということが問題になる訳です。

これについては、様々な組織が何らかの形で公にしていて、当該研修資料でもそれらを引用していましたので、ここでもその引用を引用したいと思います。

IPA独立行政法人情報処理推進機構「情報セキュリティ5か条」より

• OSやソフトウェアは常に最新の状態にしよう！

• ウイルス対策ソフトを導入しよう！

• パスワードを強化しよう！

• 共有設定を見直そう！

• 脅威や攻撃の手口を知ろう！

総務省「テレワークで業務用端末を利用する場合の対策」より

• 盗難、紛失に備えて、持ち運ぶ必要のない機密情報、個人情報は保存しない。

• 容易に推測されにくいログインパスワードを設定して、他人には利用できないようにする。（指紋認証などの生体認証付きの端末を使用するのもよい）

• ハードディスクを暗号化して利用する。

• 持ち出し用の端末も、ソフトウェアの更新やウイルス対策ソフトの導入・更新などのメンテナンスを適切に行う。

• 持ち出し用の端末が入った鞄を電車の網棚などに置かない。鞄から目を離さない。

• 持ち出し用の端末にパスワードを書いた紙などを貼り付けない。

「公認会計士業務における情報セキュリティの指針に係るＱ＆Ａ（実務ガイダンス）」Q24ＰＣ等の設定より

• 特殊な権限を持っているAdministratorを利用できない設定にする。

• ＯＳに標準で用意されているファイアウォール等のセキュリティ機能を有効にする。

• 暗号化ソフトにより、HD、SSDの暗号化を行う。

• エンドポイントセキュリティ対策ソフトを導入する。

• ＯＳについては、セキュリティパッチ等ＯＳの更新が自動的に適用される設定にしておく。また、使用しているソフトウェアについても、必要に応じて自動アップデート等を有効にしておく。

• 顔認証、指紋認証、ワンタイムパスワードなど、端末を紛失した場合であっても、容易に情報を取り出せないよう、端末の個人認証を強化する。

読んでわかる通り、本当に当たり前のことしか書かれていないのですが、自動化できない部分（共有設定の見直し、鞄の紛失等）は改めて意識しておきたいものです。

あと、研修内で言及されていたことで、古いルーターは新しいものに交換するというのは忘れがちだな、と感じました。

サポート状況の定期的な確認を怠らないようにしようと思います。

その他、セキュリティ・インシデントの事例（尼崎のUSB紛失やセブン・ペイ等）解説もあったのですが、某大銀行のソースコード流出事件が結構辛かったです。

ある転職サイトに、ソースコードをアップすると年収を診断できるツールがあるらしく、そこに委託先のエンジニアがソースコードをアップしたために流出したという事件なのですが、その某大銀行の担当責任者が受けたストレスを想像すると、やりきれない気持ちになります。

それはともかくとして、上記以外にも様々な知見が得られる研修でしたので、興味ある同業者、特に組織に所属しておらす、定期的な情報セキュリティ関連研修を受ける機会のない方は、視聴されることをお勧めします。