COVID-19とリモートワーク:法律専門家がサイバーリスクに警告

2020年4月8日

法律の専門家は、COVID-19が詐欺メールやフィッシングの増加、在宅勤務の従業員の増加に関連したその他のリスクの新たな機会を提示し、企業はサイバーセキュリティの防御を強化するよう警告しています。米国の法律事務所Debevoiseは、COVID-19による混乱やリモートワークの可能性に備えて、企業が検討すべきチェックリストを公開しています。

 

サイバーリスクチェックリスト

先日公開されたNYUロースクールのブログで、同事務所はサイバーセキュリティに関する考慮事項を以下のように列挙しています。

 

1. フィッシング

コロナウイルスのフィッシング詐欺に注意しましょう。CDCの偽のアップデート、ITアラート、ソフトウェア通知などで、ユーザーの認証情報を取得したり、マルウェアをインストールしようとするものがすでに見られますので、コロナウイルスに特化したフィッシングトレーニングやテストの実施を検討してください。また、パソコン、スマートフォン、タブレット、WiFiネットワークの業務での使用をカバーする会社のポリシーを再配布し、
(a)在宅勤務者にもこれらのポリシーが適用されること、
(b)明確なポリシーの変更がない限りセキュリティプロトコルが緩和されることはないこと
を強調しておくとよいでしょう。

フィッシングメールのように見える正規のメールを従業員に送らないようにしましょう。そのために従業員へのCOVID-19の公式アップデートは、一貫したフォーマットで、リンクや添付ファイルを含まないようにしてください。

 

2. リモートの容量

多くの従業員が同時にリモートログインを試みることで会社のリモート能力をテストし、安全なウェブベースのビデオ会議オプションを追加または拡張することを検討してください。

 

3. 脆弱性のリアルタイム更新

CISA アラートサービス、FBI サイバーアラート、IT-ISAC、企業や組織が事業を展開している国の業界の脅威情報共有グループなど、さまざまな脅威情報共有グループに加入して、新しい脆弱性やサイバー詐欺の現状を常に把握しておくことが重要になります。

 

4. ヘルプデスクのためのヘルプ

IT ヘルプデスクの負担増を予測し、電話番号認証、質問、二要素認証などを使用して従業員の本人確認をする機能を含め、在宅勤務者からのサポート要請の増加に対応するために必要なポリシー、トレーニング、ツールが備わっているかを確認してください。

 

5. リモートワークの問題を予測する

従業員によっては機密文書を自宅で簡単に印刷できるように個人のメールアカウントに電子メールで送信するなど、セキュリティ上問題のある方法でテレワークを行うリスクが出てきます。企業はこのような問題を事前に予測し、対応する必要があります。

 

6. 必要な人員の確保

急ぎで追加する必要がある新しいシステムのパッチ適用や情報セキュリティレビューの実施、サイバーイベントが発生した場合の調査や修復に必要な人員など、ネットワークを保護するためにオンサイトで必要とされる人員の数を決定しましょう。またバックアップ要員の確保の検討も必要です。

 

7. ベンダー

会社の主要な取引先ベンダーと調整を行い、サイバーセキュリティ緊急時対応計画が適切であることを確認してください。

 

8. 連絡先情報の更新

主要な従業員の連絡先情報、特に携帯電話番号が最新のものであることを確認してください。

 

9. 医療情報の保護

従業員が感染した場合、診断を受けた従業員や従業員の家族の医療状況や身元など、法律で定められている従業員の医療データの機密を維持するよう努めましょう。

 

この記事は、トムソン・ロイターの出版物であるAnswers On Blogのために、北米規制情報編集者のHenry Englerが執筆したものです。Legal Insightはこの記事を許可を得て再掲しています。

お問い合わせ

トムソン・ロイターのソリューションへのお問い合わせ、トライアルお申込み、その他お問い合わせはこちらから