自宅勤務は大丈夫？

先日入社したばかりの会社なのですが、IT系の会社でサポート業務の一部が在宅で行われています。
つまり個人のPCを利用している訳で、一応ウィルス対策ソフトは入っているそうですが(勿論個人で購入したもの)、セキュリティの面で問題はないのでしょうか。
また、サポート業務ですのでメアド等のお客様の個人情報も見えてしまう事になりますが、その点についても気になります。
その上社員の大半が会社でも個人のノートPCを使っているようなのですが、利用しているのは各PC毎に入れているノートンのみで、オラクルのようにきちんとセキュリティ対策を整えている訳ではありません。

自社やお客様の個人情報の取り扱いについて問題が多発している今日この頃、こんな事で大丈夫なんだろうかと不安になってきます。それでも会社はプライバシーマーク取得の申請をしていてもう取れそうだという事ですので、私の気にし過ぎなのかもしれませんが。
実際のところはどうなんでしょうか？
よろしくお願いします。

No.6 ベストアンサー 回答者： raze 回答日時： 2005/01/15 14:18

SSLでもそのセッションがスニッフィングされたりすると暗号がかかってない状態で見れるものもあるけど、

まあ、リモートアクセスだから大丈夫だろう。
LAN内はそうはいかない。

この回答へのお礼

>リモートアクセスだから大丈夫だろう

そうなんですね。色々余計な事を考えて心配していたのですが、お陰で安心できました。
何度も回答いただきありがとうございました。とても勉強になりました。

お礼日時：2005/01/15 23:29

No.5 回答者： net_lander 回答日時： 2005/01/15 08:28

まず、こんな企業があります。

【日立、社内業務でパソコン利用全廃・専用端末で情報漏えい防止】
（下のURLで記事をお読みください）
あなたが心配する通り、
個人情報が何らかのエンコーディングもされず社外のメディアに残るシステムは、最悪としか言わざるを得ません。
通信経路での情報の漏洩は、極々まれです。
企業の”瑕疵”となることを見過ごしていることは、いずれ命取りになる。
ということです。

参考URL：http://www.nikkei.co.jp/news/main/20050103AT1D29 …

この回答へのお礼

リンクのような対策ができると、個人の問題はともかく安心できますね。
私なりにも提案していけるものはしていきたいと思います。
ありがとうございました。

お礼日時：2005/01/15 23:26

No.4 回答者： hidebu- 回答日時： 2005/01/14 21:24

会社としての責任という点では

セキュリティポリシーと
プライバシーポリシーをしっかりするということくらいしかできません。

システム的な防衛は各社さまざまです。
顧客情報の漏洩に対する損害度がおおきいと会社が判断すれば現在の技術で考えられる限りの鉄壁の防衛網をはるでしょう（金融系なんかはそうでした）
そこのシステムを受け持つベンダーなぞも、開発時にはそこのラインだけ隔離してしまい開発ルームに物理的に足を運ばないとサーバーにアクセスできないようにしてましたね。
もちろんメディアの持込も禁止で探知機と防犯カメラつきでしたし、指紋認証をしなければはいれませんでした。
しかもサーバーは別室にありましたので、そこにログインしてサーバー機を操作しようとおもったら（つまりサーバーOSの操作）物理的にそのサーバールームに移動する必要がありました。
もちろん、そこにはいれる人間はさらに絞られます。

しかし、ここまでしてしまうと利便性が損なわれ、なにをするにしても労力がかかりコストが高くついてしまうわけですね。

SSLというところをみると、WEBブラウザか何かで操作するものでしょうか？
それでしたら、外部に開放しているポートは限られているでしょうし人為的にログインIDとパスワードをもらさない限り大丈夫かと。

それを否定してしまうとASP事業がすべて駄目ということになりますから。

現状は
セキュリティーポリシーとプライバシーポリシーを社員に配った上で、これを理解した上で仕事をしてもらい、それに違反して損害が発生した場合は当人に損害賠償請求を行う。
といったような旨の誓約書にサインさせた上で仕事をさせるところが多いようですね。

この回答へのお礼

確かにコストと労力と利便性のバランスをどう取るかというのは難しいところですね。そしてその部分に会社の問題意識が出る事になるという訳ですね。
とりあえず、少し安心できましたし、色々勉強になりました。ありがとうございました。

お礼日時：2005/01/15 23:19

No.3 回答者： raze 回答日時： 2005/01/14 16:49

認証システム何使ってるか知らないけど、

そんな状態なら外部から顧客情報などを管理しているサーバーなんかにアクセスが許可されてるのはまずいと思うけど。

この回答への補足

認証システムと言っても、サポート対応用のソフトはSSLではありますが、ログインする時にIDとパスワードを入れるのみです。
顧客情報を管理しているDBはもう少しきちんとしたセキュリティになってはいるようですが…やっぱりどこからでもアクセスできるのはまずいですよね…。
補足の確認ありがとうございました。

補足日時：2005/01/14 17:57

No.2 回答者： hidebu- 回答日時： 2005/01/14 16:43

情報漏洩というのはシステム側の問題というより人為的なものがほとんどです。

いくらシステム的に完璧にしても内部の人間が漏らしてしまっては意味がありませんしね＾＾；

各クライアントにキチンとノートンがはいっていて定義ファイルがキチンと更新されているなら別に問題はないでしょう。

それよりも社員の情報の取り扱いに対する姿勢のほうが重要かと。
お客の個人情報をいれたUSBメモリを持ち歩くときに、自分がどれほど重要なものを持ち歩いてるかという意識がないほうが怖いですね。

外部からの接続をまったく遮断しているサーバーに対して、派遣社員や外注が内部から情報抜いて漏れてしまうっていうのもよくある話です。

この回答への補足

回答ありがとうございます。
確かにどんなシステムも使う人次第だというのは分かります。今までにニュースになった漏洩事件でも、殆どが内部の人の犯行でしたから。
ただ、個人の意識任ではなく、会社としての責任を果たす為の形式として、どの程度気をつけておけばいいのか気になりました。今のところは大丈夫と思っていてよろしいでしょうか。
ちなみに、会社に自分のノートPCを持ち込んで使っている人には、会社から出る時にはメールを全部消して行こう、というお達しが出ているようですが…消している人はいなさそうです。

補足日時：2005/01/14 17:47

No.1 回答者： raze 回答日時： 2005/01/14 16:22

自宅から会社のサーバーにアクセスするといっても

VPNとかになってんじゃない　？
会社のネットワーク管理者に問い合わせたら。

この回答への補足

> VPNとか

にはなっていないんです。
接続は各個人が利用しているプロバイダからですし、セキュリティと言ってもログインするパスワード位でそれ以外の制限はありません。
それにちゃんとしたネットワーク管理者(責任者)もまだいないみたいで…。

補足日時：2005/01/14 16:24