急速に成長するギグエコノミー(ネット上の短発または短期の仕事)と、Upwork、Fiverr、FreelancerなどのWebサイトにより、エージェントはわずか数人の正社員で幅広いマーケティングおよびクリエイティブサービスを提供できるようになりました。
この分散型ワークフォースという新たなスタイルによって、スタートアップ企業はリモートワーカーやフリーランスを支援しながら競争力を得ることができる一方で、企業とその顧客は潜在的なデータセキュリティリスクにさらされています。
こうしたデータセキュリティのリスクに関して、多くの企業にとって課題となるのがパスワード管理ですが、顧客データの漏洩や、場合によってはデータプライバシー法に違反するリスクがある企業もあります。
そこで本記事では、リモートワーカーやフリーランスを多く抱える企業において、データの安全を保つために考慮すべき事項を9つご紹介します。
フリーランスと連携して業務を行っている方は、ぜひTeampasswordを14日間無料でお試しください。
【目次】
1. リスク評価とデータセキュリティプロトコルの割り当て
リモートワーカーやフリーランスと連携して業務を行っている企業は、リスクのレベルと関連するプロトコルを評価する必要があります。
例えば、チームがSNSのアカウントにリモートでログインするのは問題ないかもしれませんが、顧客データベースや財務情報へのアクセスは、安全な社内ネットワークで働く、精査された正社員だけがアクセスできるようになっていなければなりません。
このようなデータ保護のプロトコルを設定すると、どのプロジェクト、タスク、クライアントが社内チームのもので、どれをリモートワーカーやフリーランスにアウトソースできるかが決まってきます。
また、そのセキュリティレベルはガイドラインであり、画一的なアプローチではないことに注意することが重要です。 一部の顧客にとっては安全なパスワード共有で十分かもしれませんが、リスクの高い多国籍組織では、安全な社内ネットワーク上の精査された正社員しかアカウントとシステムにアクセスできないとする場合があります。
2. アクセス制限
データセキュリティのリスク評価の一環として、誰がツールやアプリにアクセスする必要があるかを判断する必要があります。
下記がその例です。
- ソフトウェアを使ってSNSを管理する場合、フリーランスにSNSチャネルへのアクセスを許可する必要があるのか
- コピーライターはCMS(コンテンツ管理システム)にアクセスする必要があるのか
- Microsoft WordやGoogle ドキュメント経由で記事を送れるのか
- マーケティング担当者に分析ソフトウェアへのアクセスを許可すべきか
- 必要なレポートを生成して Excel やスプレッドシート経由で共有すべきか
パスワード管理が完全であるとしても、企業は利便性よりもツールやアプリケーションへのアクセスを制限することを優先しなければなりません。
3. アクセスレベルの設定
組織内のもう1つの考慮事項は、アプリ、ツール、データへのアクセスに対するアクセスレベルの設定です。 企業は、漏洩や侵害を最小限に抑えるために、組織のあらゆる要素を「Need To Knowの原則」のもと扱う必要があります。
TeamPasswordのようなツールを使うと、そのようなアクセスレベルをグループや共有機能に関連付けることができるため、特にフリーランスのセキュリティポリシーに関して、誰に何へのアクセスが許可されているかについて混乱することがなくなります。
4. データセキュリティに関するチームメンバーの教育
サイバーセキュリティのトレーニングは、潜在的なデータセキュリティのリスクを軽減するのに非常に重要な部分であり、セキュリティプロトコルによっては、トレーニングがフリーランスにも適用される場合があります。
テクノロジーとサイバー犯罪の状況は常に変化しているため、企業は従業員やフリーランスに最新の詐欺や攻撃に関する最新情報を提供し続けなければなりません。最新の詐欺や攻撃に関する情報をチームに提供し続けるために、専用のSlackチャンネルやサイバーセキュリティのWikiを作成することを検討するといいかもしれません。
また、企業はサーバーのシャットダウン、オフライン化、通信プロトコルなど、侵害や攻撃への対応についてチームを教育すべきです。
5. 一般的なデータ侵害の種類(最新版)
データセキュリティのトレーニングについては、まず従業員が2024年における最もよくあるデータ侵害の2種類を理解するところから始まります。
(1)マルウェアによるメールまたはメッセージ攻撃
マルウェアによるメール攻撃では、サイバー犯罪者は一見平凡なメッセージや、よからぬリンクやファイルのダウンロードが添付されたメールを送信します。
リンクまたはダウンロードが有効化されると、犯罪者はデバイス、メール、メッセージ、および保存されているログイン認証情報に完全にアクセスできるようになります。この種の攻撃は、サイバー犯罪者が検出されずにデバイスを無期限に監視できる点が問題です。
多くの企業は、その罠にハマる人がいるかどうかを確認すべく、「なりすまし」メールやメッセージを送って従業員に定期的にテストを行うでしょう。そしてそのテストに「不合格」となった従業員は、マルウェア詐欺や戦術をきちんと十分に認識するように再トレーニングを受けなければいけません。
(2)フィッシング
フィッシングまたはソーシャルエンジニアリング攻撃は、企業や個人に対する最も一般的なサイバー脅威の1つです。サイバー犯罪者は、個人を「怪しくないもの」と思われるサイトやアプリに誘導して、ログイン認証情報や個人情報を入力させようとします。
TeamPassword のようなパスワードマネージャーを使うと、従業員はログイン認証情報を入力する必要がなくなり、彼らがフィッシング詐欺の被害に遭うリスクが軽減されます。企業はまた、ネットサーフィンへのアクセスを制限し、SSL/HTTPS(Secure Sockets Layer)のないサイトへのアクセスをブロックすべきです。
6. 公衆ネットワークでのリモートワーク
企業が直面する最も重要な問題の1つに、チームのインターネットへの接続法があります。 例えば、チームがカフェで作業することは、データセキュリティに重大なリスクをもたらしかねません。誰が公衆ネットワークを監視しているのか、あるいはチームメンバーが作業中に覗き見されていないかを知ることは不可能です。
公衆WiFiでの作業に関するポリシーは、潜在的なリスクについてチームを教育することに尽きます。厳格なVPNポリシーはその第一歩としては素晴らしいですが、それでも、従業員は周囲の状況、近くに座っている人、鏡、監視カメラにも注意し、コンピューターやデバイスから決して目を離さないようにすべきです。
企業は、リモートチームメンバーにポケットWiFiを割り当てるのを検討するのも良いでしょう。このようなデバイスは完全に安全というわけではありませんが、公衆WiFiよりもモバイルネットワーク上の方が安全です。
7. EMM(エンタープライズモビリティ管理)
企業は、 EMM(エンタープライズモビリティ管理)ポリシーの効力によって、リモートチームや個人用デバイスで作業するフリーランスに与えるアクセスを制御することができます。
EMM で、IT部門の管理者は企業のデータセキュリティと機密データを保護するために、会社と個人の両方のデバイスを監視および管理することができるようになります。このようなセキュリティ管理システムにより、IT部門はチームメンバーのWiFiネットワークの監視やその安全性の判断、不審な活動への対応もできます。また、IT部門の管理者はチームメンバーのデバイスが紛失または盗難にあった場合、リモートでデバイスをロックまたはワイプすることができます。
8. フリーランスのセキュリティ規制
企業は、国や州の規制要件も考慮しなければなりません。例えばアメリカでは、HIPAA(医療保険の携行性と責任に関する法律)が、医療関連データへのアクセスや共有を保護する唯一の国家データ保護政策のひとつとなっています。
また、カリフォルニア州には、CCPA(カリフォルニア州消費者プライバシー法)という最も厳しいデータプライバシー規制があり、この法律は、健康関連のデータにとどまらず、あらゆる業界のあらゆる消費者を保護するものとなっています。
CCPAに違反した企業は、高額な罰金に直面し、集団訴訟の対象となる可能性があります。同法は消費者の権利を保護するものであり、消費者は以下の権利を与えられています。
- 組織が集めるデータの内容の把握
- 第三者へのデータ販売のオプトアウト(「許諾しない」意思を示す行為)
- 集めたデータへのアクセスとダウンロード
- データの別のサービスへの転送
- データの削除
アメリカには、同様の規制を実施している州が以下のようにあります。
- バーモント州
- アラバマ州
- サウス・ダコタ州
- アリゾナ州
- コロラド州
- オレゴン州
- バージニア州
- ニュージャージー州
- ロードアイランド州
データ侵害やサイバー犯罪に対する意識の高まりを受けて、同様の法律が国レベルで可決される日も近いでしょう。
GDPR(EU一般データ保護規則)
欧州のGDPRは世界的に最も厳格な個人情報保護法であり、他の国々がデータ保護規制をモデル化する際の世界標準となる可能性が高いでしょう。
GDPRでEUの消費者だけでなく、EUの業者と取引する人、あるいはEUを通過する旅行者も保護され、リモートワーカーやフリーランスの雇用にも適用されます。
メールのデータベースの流出やパスワード管理の怠慢は、1,000万ユーロ、または企業の年間売上高の2%もの罰金を科される可能性があります。
9. 強固なパスワード管理
フリーランスに共有ツールやアプリへのアクセス権を与える必要がある場合、パスワードマネージャーは非常に重要です。実際、社内スタッフであっても、アプリやツール、アカウントのログイン情報を共有する場合は、必ずパスワードマネージャーが使われなければなりません。
TeamPassword で、企業は同僚との安全なパスワード共有ができるようになります。ブラウザの拡張機能をインストールすることで、チームメンバーはパスワードを見ることがなくなり、それによってパスワードの盗難や不正な共有、アクセスのリスクが軽減されます。
リモートチームやフリーランスと仕事をするときにTeamPasswordを使うべき理由は、以下のように5つあります。
- 安全なパスワードジェネレータ - 安全なパスワードジェネレータがあれば、チームメンバーが脆弱なパスワードを作成したり、ツールやアプリケーション間で認証情報を共有したりする心配がなくなります。TeamPasswordのパスワードジェネレータでは、大文字、小文字、記号、数字を使って最大32文字の安全なパスワードを作成できます。
- グループと共有 - ユーザー名とパスワードを共有する代わりに、チームメンバーやフリーランスを特定のツールやアプリにアクセスできるTeamPasswordのグループに追加できます。それによりチームはログイン情報を見ることはなく、チームメンバーの削除もクリックひとつで簡単にできます。
- 2FA(2段階認証) - 2FAは、リモートチームやフリーランスにとって非常に重要です。2FAを使えば、クレデンシャルスタッフィング、フィッシング、ブルートフォースなどの攻撃によるパスワード侵害を減らすことができます。また、2FAは、カフェのような公共スペースでの覗き見に対しても効果的です。
- アクティビティとログ - 効果的なパスワード管理には、不正アクセスや共有に即座に対応できるようにアクティビティログを管理することも必要です。アクティビティログは、侵害を調査する際にも一役買います。
- メール通知 - TeamPasswordは、データ保護や機密性の高いツールやアプリケーションへのアクセスの監視に不可欠な機能であるアクションやアクティビティを管理者にメールで通知します。
TeamPassword の高度で安全な暗号化技術でデータ、ツール、アプリを保護しませんか?無料トライアルを開始して、TeamPasswordでフリーランスと連携して業務を行う際のセキュリティリスクを軽減しましょう。
