<情報セキュリティリスクからテレワークを守る【3】> テレワークセキュリティガイドラインの策定ポイントとは?
オンタイムで国内はおろか、世界中の人と繋がることができるインターネットは、これまで対面が常識だったビジネスの可能性を広げる非常に便利なツールです。しかし、同時に多くの犯罪組織に狙われやすいツールにもなっており、ネット上にあふれるあらゆる「情報」は、国を問わず恰好の餌食となっています。日本でいま拡大を続けているテレワークは、コロナ禍がきっかけとなっている分、準備期間や移行期間を設けることなく「非接触でビジネスができるツール」という目的で導入されているケースが多く、セキュリティにまで手が回っていないのが現状です。このような形でテレワークが広まることを危惧した総務省では、「最低限のセキュリティを確保するため」という目的で「テレワークセキュリティガイドライン」を作成しています。テレワークを安全に実施するためにも、国が推奨するセキュリティガイドラインの内容について、紐解いてみましょう。
総務省の「テレワークセキュリティガイドライン」とは?
総務省が作成した「テレワークセキュリティガイドライン」は、急拡大するテレワークに対し、専任の担当を設けることができない中小企業などが安心してテレワークを導入できるようにと考えて作成された、テレワークの手引書です。その構成は以下のようになっています。
(1)テレワークにおける情報セキュリティ対策の考え方
(2)テレワークセキュリティ対策のポイント
(3)テレワークセキュリティ対策の解説
これに加え、テレワークで想定されるトラブル事例の対策と一覧が掲載されています。
▼総務省
>>>テレワークセキュリティガイドライン
テレワークにおいての情報セキュリティガイドライン3つのポイント
テレワークセキュリティガイドラインを参照に、3つのポイントを解説いたします。テレワークにおいての情報セキュリティは「ルール」「技術」「人」がポイントとなります。
(1)「ルール」としての社内セキュリティの制定
まずは社内でのルール整備が必要です。これまでテレワークを導入していない会社にとって、テレワークは未知の領域です。どのようなトラブルが想定され、どう解決していいか、各々の行動や判断に任せていては効率的な仕事が出来なくなってしまいます。まずは「基本方針」「対策基準」「実施手順」を盛り込んだセキュリティポリシーやガイドラインを作成し、従業員に遵守させることから始めます。策定したガイドラインは定期的に監査をして、内容の見直しや、必要ならアップデートを行います。
(2)「技術」的な面でのセキュリティシステムの導入
安全にテレワークを実施するには、「従業員が持つ端末のセキュリティ」と「社内で共有される他メディアのセキュリティ」双方からの対策が必要となります。
【従業員が持つ端末のセキュリティ対策】
・本人認証
・端末認証による利用アクセスの管理と制御
【社内で共有される他メディアのセキュリティ対策】
・データの暗号化
・安全な回線の使用
・ウイルス対策ソフトの導入
技術的な対策は、悪意あるソフトウェアとのいたちごっことなります。どんなにセキュリティを強化しても、敵もまた進化してくるのです。特に個人情報を守る立場のある業種の場合は、より強力なセキュリティの導入を余儀なくされるケースもあります。しかし、セキュリティを強化すると、ソフトウェアを利用する従業員の認証作業が複雑化し、作業に影響をきたす可能性もあるため、セキュリティ対策と業務効率はバランスよく調整することがベストです。
(3)「人」は何をすべきかと導く物理的な施策
「ルール」や「技術」でセキュリティ対策をしても、それだけでは万全でありません。情報の持ち出しや紛失、流失などの避けて通れないヒューマンエラーや、パソコン盗難、破壊行動などの人による外的要因など、物理的なリスクも存在します。物理的な施策では、何が危険で、どこに注意したらいいのかを示すことがポイントです。
・テレワーク作業を実施する場所でのセキュリティの確保
自宅以外でテレワークをする場合、例えば、サテライトオフィスやレンタルスペースなどでの作業の場合、情報を盗み見られてしまうリスクや、パソコンの盗難などのリスクが高まります。このようなリスクを避けるためには、会社貸与のパソコンの管理を厳重にするために誓約書を交わすなどの制限を設けることが効果的です。
・紙資料紛失などをリスク回避
紙で作られた資料の紛失や盗難は、情報漏洩リスクが非常に高まります。紙資料による情報漏洩リスクを回避するためには、文書を電子化し、ペーパーレス化へと切り替えることです。ペーパーレス化は急に実施することは難しいため、経営陣などが指揮を執りこれまでの仕組みを変える必要があります。
それぞれの立場で考える「テレワークセキュリティ対策」とは?
テレワークの情報セキュリティについては、それぞれの立場で考え方や具体的なセキュリティ対策が違ってきます。テレワークセキュリティガイドラインでは「経営者」「システム管理者」「テレワークで働く従業員」がそれぞれ何をすべきかなどについても記しています。
【経営者】
●経営者の考え方
経営者はテレワークの導入を決断し、セキュリティのためのルール作成をする立場の人間です。そのためには、テレワークによる情報セキュリティリスクをよく理解し、リスクが会社に与える損害を考えた上で、ルール作りを構築します。同時に、セキュリティ対策を含めたテレワーク運用の人材や費用の確保をしなければなりません。
●経営者の具体的な対策
経営者は情報セキュリティの方針や行動指針をまとめた、情報セキュリティポリシーをまとめて、定期的に監査や修正を行い、継続的に運用します。情報セキュリティポリシーの内容は、企業の規模や業種、経営戦略、理念、保有する情報資産などにより違いがありますので、自分の会社の状況を見極めながら作成します。
【システム管理者】
●システム管理者の考え方
テレワークの場合、外部の端末から社内システムにアクセスする環境が一般的です。システム管理者は、外部端末からのアクセスが、ウイルス感染に対して脆弱であることを十分に理解し対策を講じる必要があります、
●システム管理者の具体的な施策
自社の情報資産を「業務情報」「公開情報」「機密情報」の3つに分類します。その中から、持ち出して良い情報、持ち出してはいけない情報を判断します。中でも機密情報は、データの暗号化やアクセス制御を設けるなどの厳重な管理が求められます。さらに、悪質なウイルス対策、不正アクセス対策などを構築し、対策ソフトの導入や、社外Webサイトへのアクセス制御、セキュリティトラブルの際の対策などについても定めておきます。
【テレワークで働く従業員】
●考え方
テレワークで働く従業員は、社内情報の取扱いに細心の注意を払わなければならない立場にあります。テレワーク作業中は、自身が手元の作業での情報管理の責任者ということを自覚し、経営者の定めた情報セキュリティポリシーやガイドラインを遵守する必要があります。
●従業員の具体的な施策
従業員が実施する具体的な施策は、以下の通りです。
・ルールの遵守
・端末の徹底管理(画面ロック、盗難対策、覗き見や盗聴対策)
・守秘義務に沿ったSNSの利用を徹底する(炎上リスク防止)
・パブリッククラウドサービスは指定されたものを使用する
テレワークを実施する際はこれらの施策を基本とし、常に情報セキュリティに対するハザード意識を高めながら作業をすることで、セキュリティ対策が効果的となります。
テレワークが情報セキュリティリスクの脅威に晒される前にセミナーを受講しておこう
収束を見せないコロナ禍の中で、テレワークが「当たり前の働き方」となる時代が前倒しでやってきています。後手にならないようにするためにも、セミナーを受講して、テレワークのセキュリティ対策を万全としましょう。
■会場型セミナーで受講したい方は『ビジネスクラス・セミナー』
>>>最新のビジネスセミナーを探す
※サイトにアクセスしたら、「情報セキュリティ」などでフリーワード検索してください。
■WEBセミナーで受講したい方は『Deliveru(デリバル)』
>>>Webセミナーで最新WEBセミナーを探す
※サイトにアクセスしたら、「情報セキュリティ」などでフリーワード検索してください。
【参照情報】
クラウド実践チャンネル
>>>総務省「テレワークセキュリティガイドライン」を簡単に5分で解説
テレワークナビ
>>>テレワークにはセキュリティ対策が必須!とるべき7つの施策とツールを解説
IPA
>>>テレワークを行う際のセキュリティ上の注意事項