質問

2008年09月20日 22時55分
  • 機密情報へのリモートアクセスについて

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

皆様おつかれさまです。

現在、当社では外部ネットワークからのグループウェアの
リモート接続サービスを開始しようとしています。
(グループウェアは現在イントラで運用中で、SSL-VPNで外部から接続しています)

グループウェアには入社・退社などの社員情報や、財務報告に関わるような機密情報も
含まれており、漏洩した場合の影響はかなり大きいと考えています。

そこで・・・

・接続可能なメンバーは申請により許可された者のみ
・MACアドレス登録により接続するノードも固定(会社支給のPC限定)

というセキュリティ要件でサービスリリースしようと準備していたところ、

他部署の社員から
「グループウェアはそもそも全社員にアカウントが当たり前に
付与されているものであり、改めて申請するなどおかしいのではないか」
とのご意見を賜りました。

まあ確かにグループウェア自体はそうだけれども、
どこからでもインターネットにさえ繋げれば会社の機密情報に
アクセスできるというところは大きく異なる部分だと考えています。

正直なところ
「じゃあセキュリティインシデントが発生したときにあなたが責任を
とってくれるんですか!」
と、切れそうになってしまいました・・お恥ずかしい限りです。
でも確かに私がユーザなら「信用してないのか!」という気持ちにもなりそうです。

皆様のところではこのようなケースではどのような対処をされていますか?
妥当だ、甘すぎる、きつすぎる程度のご意見も、ぜひいただきたいです。

4件の回答があります

回答

私のところでも リモートアクセス は行っていますが

・接続可能なメンバーは申請により許可された者のみ
は当然の事と思います。
私のところでは自宅から接続することも許してますが、接続環境・アンチウィルスソフト導入状況を書かせたうえで誓約書に署名・捺印させてます。
自分でこういう環境が作れない者には許可しません。
(今後は期限を1年にして毎年申請を出し直させることも検討しています)

"bunnymen"さんは「接続環境が違うのだから申請を出し直すのは当然」と主張してよいと思いますよ。

2008年09月21日 11時22分

回答

当社では、グループウェアはホスティングで運営していますが、
やはりどこにいても利用できるという性質上、スタッフのスケジュール管理と
携帯番号やメールアドレスといった情報のみの利用としています。

会社にとっての機密情報を扱っているのであれば、bunnymenさんのような手続きは妥当だと思いますよ。

2008年09月21日 21時49分

回答

投稿者の方の対応は正しいと思います。
私どもでもかつては電話回線で自宅からのアクセスを許可しておりましたが、その時ですら申告制にして、問題が発生したときの用心として被疑者を予め絞っておきました。また、何かリモートアクセスに関して連絡が必要になったときも、アクセス許可者がわかっていると便利です。

現在はセキュリティポリシーによって、外部ネットワーク(自宅等)からの社内ネットワークへのアクセスは禁止となっており、ユーザから反発があったとしても、「(みんなで決めた)セキュリティポリシーで決めたとおりに運用しています。それを破ると背任罪です。」と一言で片が付きます。

ユーザへのセキュリティに関する教育も必要です。ユーザは中途半端な知識で「知ってる」つもりになってますから、勘違いな要求をすることは多々あります。

でも確かに私がユーザなら「信用してないのか!」という気持ちにもなりそうです。

人を信用するかしないの話ではなく、組織として情報漏洩等に備える体制になっているかどうかの問題だと思います。もし、そういう詰問があっても、さらりとかっこよくかわしてみましょう(笑)

2008年09月24日 09時15分

回答

結果を申しますと、今回は申請によってユーザ把握はバッチリできることになりました。
(承認は初回ということでちょっと甘くなってしまいましたが・・)
アドバイスをいただいた皆様、ありがとうございます!!

2008年09月25日 23時41分

あなたもコメントしましょう!