コロナ禍をきっかけに、世界中で大きな転換が始まりました。なかでも、ビジネスにおいて、テレワークは一時的な手段ではなく一般的な働き方として、すでに多くの企業で定着しています。
テレワークを導入した企業は、テレワークによる多くの課題や問題点に気づいたはずです。業務指示方法、打ち合わせ方法、勤怠管理、情報セキュリティなど、会社勤務とは違うルールやその運用方法などが求められてきます。
なかでも、情報セキュリティに関しては、個人情報保護の気運が高まる中では、非常に重要なファクターとなります。
今回は、2020年4月に総務省が発表した「テレワークセキュリティガイドライン・第4版」のなかでも、テレワークで実施するべき5つのセキュリティ対策について解説します。
テレワークにおける情報セキュリティの考え方
テレワークにおけるセキュリティ対策を実施する場合、「ルール」「人」「技術」の3つをバランスよく考えていくことが重要となります。セキュリティ対策の考え方として、“最もセキュリティの弱いところが全体のセキュリティレベルになる”というものがあります。
例えば、セキュリティに関して「ルール」と「人」に対して強化したとしても技術的な対策が50%程度しかなされていない場合、全体のセキュリティレベルは50%ということです。つまり、「ルール」「人」「技術」の3つをバランスが重要になります。
また、セキュリティ対策を運用するにあたって、3つの立場も考える必要があります。3つの立場とは、「経営者」「システム管理者」「テレワーク勤務者」です。
経営者
経営者は、セキュリティ対策の重要性を認識し、積極的にルールづくりを推進しなければなりません。また、企業全体を見ながら経営者としての判断をする必要があります。情報セキュリティ上のインシデントが発生した場合には、経営に直結した被害や損害が生じることを自覚して、企業全体を考えてセキュリティ対策に取り組む必要があります。
システム管理者
システム管理者は、ルールをベースに必要な技術的対策やスムーズな社内運用に携わります。ルールやガイドラインに基づいて必要なシステム構成、認証手段、セキュリティソフトなどを選定して導入を行います。また、端末の管理やサーバ関連のシステム監視などで常時異常がないかをチェックするほか、ユーザーサポートや教育など、システム全体を管理します。
テレワーク勤務者
テレワーク勤務者は、決められたルールに基づいた行動や対応を行います。端末やデータなどの取り扱いに関する運用ルール、ガイドラインを理解して、それに則って業務を遂行しますが、テレワーク勤務者が自分自身で端末やデータを管理することの重要性を自覚した上で、実施している対策を理解することが重要となります。
テレワークに必要な5つのセキュリティ対策
①マルウェアに対する対策
「マルウェア」は、「malicious software(悪意があるソフトウェア)」の略語で、トロイの木馬、ワーム、ランサムウェアなどのタイプがあり、メールの添付ファイル、無料アプリケーションのインストールなどで感染します。感染すると、外部からパソコンに侵入されたり、ファイルやデータを読み取れなくなったりと様々な不具合が生じます。
特にテレワーク時では、インターネット環境下での利用が多くなってくるため、以下のような対策が必要となります。
- フィルタリングソフトなどで危険なサイトにアクセスしないように設定する
- OSやブラウザのアップデートが未実施の時にWebサイトにアクセスしない
- テレワーク勤務者がインストールするアプリケーションを申請させる
- 許可を受けたアプリケーションのみをインストールさせる
- ウイルス対策ソフトをインストールする
- ウイルス対策ソフトの定義ファイルが最新のものか確認する
- OSおよびソフトウェアを常に最新の状態に保つ
- 作業前にOSおよびソフトウェアが最新のものであることを確認する
- 私用端末を利用する場合には必要なセキュリティ対策があるかどうか確認したうえで使用を認める
- テレワークにはルールに定められた情報セキュリティ対策が適用されているものを使用する
- 重要な電子データのバックアップを社内システムから切り離して保存する
- 不審なメールの分類設定を行う
- マルウェアの被害の甚大さを理解して添付ファイルなどの取り扱いに注意する
②端末の紛失・盗難に対する対策
社外にパソコン端末を持ち出す場合、どうしても紛失や盗難の可能性が高くなります。盗難の場合は、ハードディスク内のデータを悪用されることもありますので、注意が必要です。以下が端末の紛失・盗難に関する対策となります。
- テレワーク時の情報資産については原本を安全な場所に保管する
- 貸与するテレワーク端末の所在や利用者等を管理する
- 機密情報は管理しないように業務方法を工夫する
- リモートワイプソフト(遠隔で端末内の情報を消去できるソフト)を導入する
③重要情報の盗聴に対する対策
インターネットの活用においては、悪意の第三者が通信内容を傍受している可能性があります。特に、公衆無線LAN(Wi-Fi)は、セキュリティが脆弱なケースもあるので、特に注意が必要です。以下が重要情報の盗聴に対する対策となります。
- 機密性の高い電子データの送信には必ずデータを暗号化する
- 無線LANの脆弱性対策が適切に講じられるようにする
- 無線LANの利用リスクを理解して注意して利用する
- 画面の覗き見防止に努める
④不正アクセスに対する対策
「不正アクセス」は、アクセス権限を持たないものが、サーバや社内システムに侵入する行為です。不正アクセスでは、ホームページを改ざんされたり、サーバ内のデータが外部に持ち出されたり、サーバのシステムが破壊されたりします。コロナ禍で不正アクセスが増加したというケースもあり注意が必要です。以下が不正アクセスに対する対策となります。
- 社内システムへアクセスの認証は技術的基準を定めて管理・運用する
- パスワード、ICカードなどは適正に管理する
- テレワーク勤務者のアクセス方法を決定、ファイヤーウォール等を設置、アクセスの監視を行う
- インターネット経由のアクセスは指定したアクセス方法のみを使用する
- パスワードは強度の弱いものを設定できないようにする
- パスワードは使い回しを避け他人に推測されにくいものを使用する
⑤外部サービスの利用に対する対策
最近では、かなりの方がSNSを活用していますし、メッセージアプリ等を使って業務コミュニケーションをとっている方も少なくないと思います。また、大容量のファイルのやり取りではファイル共有サービスも一般的に利用されています。そうした場合は、まず、利用ルールやガイドラインをつくることが重要になります。以下が外部サービスの利用に対する対策となります。
- メッセージアプリ、SNSに関する利用ルール、ガイドラインを整備する
- ファイル共有サービスに関する用ルール、ガイドラインを整備する
- テレワーク勤務者にその利用ルールなどに従って利用してもらう
まとめ
コロナ禍により、皮肉にもコロナ禍以前に国が進めてきたテレワークの推進が一気に加速した状況になりました。その分、テレワーク導入の準備が不足している企業も少なくないと思います。
そうしたなかで総務省のテレワークセキュリティガイドラインの一部を紹介しましたが、単に在宅での業務を推進するだけでなく、セキュリティに関して様々な施策が必要なことを理解して、テレワークを推進してください。