テレワーク導入、その前に~どんなセキュリティ対策が求められるのか〜

mail_hatarabo_archives_8.jpg

ICTを活用することで、時間や場所を選ばない柔軟な働き方が可能になるテレワーク。その導入の際に不可欠なのがセキュリティ対策です。今回は、顧客情報などの機密データを社外に流出させることなく、自宅や社外から安全に社内データへアクセスできる環境を整備するためには、具体的にどのような対策を取ればよいのかを考えていきます。

◆目次
・「テレワークセキュリティガイドライン」の最新版が公開
・鎖の強さは最も弱いつなぎ目で決まる
・経営者が実施すべき対策
・システム管理者が実施すべき対策
・テレワーク勤務者が実施すべき対策

「テレワークセキュリティガイドライン」の最新版が公開

昨今、働き方改革の一環として、多くの企業がテレワークや在宅勤務、モバイルワークの導入を検討しています。その一方で、実際にテレワークを導入している企業は13.9%に留まっている(総務省「平成29年通信利用動向調査ポイント」)という現実があります。普及を妨げている要因にはさまざまなものがありますが、中でも大きなハードルとなっているのがセキュリティ対策であり、先の調査でも多くの企業がテレワーク導入の課題として「情報セキュリティの確保」を挙げています。

このような背景から、総務省では企業や組織などがテレワークを導入する際のセキュリティ面の指針として、2004年より「テレワークセキュリティガイドライン」を策定しています。そしてこのたび、同ガイドラインが5年ぶりに改定され、最新版となる第4版が公開されました。今回の改定の主なポイントは「BYOD(私用端末利用)やクラウドサービスを利用する場合の注意点の追加」「無線LANの脆弱性対策やSNS利用における留意事項の追加」「実施すべき基本的な対策と、実施が推奨される対策に分けた詳細な解説」となっています。

鎖の強さは最も弱いつなぎ目で決まる

同ガイドラインでは、企業がセキュリティ対策を効率的に行うためには、保護すべき情報資産を洗い出し、どのような脅威や脆弱性、リスクがあるのかを把握・認識した上で、重要度に合わせて情報のレベル分けを行い、それに応じた体系的な対策を実施することが重要であると述べています。

セキュリティ対策は、「鎖の強さは最も弱いつなぎ目で決まる」という格言と同様、最も弱いところが全体のセキュリティレベルになります。つまり、どこか1箇所に弱点があると、他の部分をいくら強化したところで、全体のセキュリティレベルを向上させることはできません。それゆえ、情報資産を守るためには「ルール」「人」「技術」が三位一体となった、バランスのとれた対策を実施し、全体のレベルを落とさないようにすることがポイントになると同ガイドラインは指摘しています。

ここからは、同ガイドラインによって示された、経営者システム管理者テレワーク勤務者がそれぞれ実施すべき対策について見ていきましょう。

経営者が実施すべき対策:
セキュリティポリシーを定め、PDCAサイクルを回していく

ルールを作る立場の経営者は、テレワークの実施を考慮したセキュリティポリシーを定め、定期的に監査し、その内容に応じて見直しをする(PDCAサイクルを回していく)ことが主な役目になります。

具体的には、以下のような対策が求められます。

・セキュリティポリシーの策定・見直し、テレワーク勤務者に対する定期的な教育・啓発活動の実施

・セキュリティインシデントの発生に備えて、迅速な対応がとれる連絡体制の整備と事故時の対応について訓練を行う

・セキュリティ対策を定めた上で、その導入・運用に必要な人材・費用を確保する

システム管理者が実施すべき対策:
セキュリティポリシーに従い、技術的対策を講じる

システム管理者は、策定されたセキュリティポリシーに従い、テレワークのセキュリティを確保するため技術的対策を講じる役割を担います。また、情報のレベル分けに応じて、データへのアクセス制御や、暗号化の要否や印刷の可否などを設定したり、導入した対策について定期的に実施状況を監査したりすることが求められます。

具体的には、以下のような対策が求められます。

「悪意あるソフトウェアに対する対策」

・フィルタリング等を用いて、危険なサイトへのアクセスを制御する

・端末へのアプリケーションのインストールは申請制とし、問題がないことを確認した上で認める

・端末にウイルス対策ソフトをインストールし、最新の定義ファイルを適用する

・端末のOSおよびソフトウェアをアップデートして最新状態に保つ

・私用の端末をテレワークで利用する際は、必要な対策が施されていることを確認させた上で認める

・ランサムウェアへの感染に備えて重要なデータをバックアップ、社内システムから切り離した状態で保存する

・金融機関や取引業者を装う不審なメールは迷惑メールとして分類されるよう設定する

「端末の紛失・盗難に対する対策」

・貸与する端末の所在や利用者等を台帳等で管理する

・端末における無線LANの脆弱性対策を講じる

「不正侵入・踏み台に対する対策」

・社外からインターネット経由で社内システムへアクセスする際の方法を定める

・社内システムとインターネットの境界線にファイアウォールやルータ等を設置、アクセス状況を監視し、不必要なアクセスを遮断する

・社内システムへアクセスする際のパスワードについて、強度の低いものが使用できないよう設定する

「外部サービスの利用に対する対策」

・SNSに関する利用ルールやガイドラインを整備し、テレワーク時の利用上の留意事項を明示する

・ファイル共有などクラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を禁止する

テレワーク勤務者が実施すべき対策:
管理責任を自らが負うことを自覚し、自己点検する

テレワーク勤務者は、作業に利用する情報資産の管理責任を自らが負うことを自覚し、セキュリティポリシーが定める基準に沿って業務を行い、定期的に実施状況を自己点検する必要があります。

具体的には、以下のような対策が求められます。

・アプリケーションのインストールは、システム管理者に申請して許可を受ける。私用端末利用の場合も安全性に十分留意する

・端末の不正な改造(いわゆる”脱獄”、root化等)を施さない

・電子メールの添付ファイルの開封やリンク先のクリックに一層の注意を払う

・機密性が求められるデータを送信する際には必ず暗号化する

・社外での作業を行う際には、端末画面にプライバシーフィルタを装着したり、作業場所を選ぶなど、画面の覗き見防止に努める

・インターネット経由で社内システムにアクセスする際は、システム管理者が指定したアクセス方法のみを用いる

・SNSやファイル共有などのクラウドサービスを利用する場合は、社内で定められたルールやガイドラインに従って利用する

こうしたセキュリティ対策を取り入れつつテレワークの導入を実現すれば、従業員は安心・安全な環境のもとで柔軟に働くことが可能となるため、生産性の向上やワーク・ライフ・バランスの実現などが期待でき、ひいては企業価値を高めることにも繋がっていくことでしょう。

参考文献:
テレワークセキュリティガイドライン(第4版)におけるセキュリティ対策のポイント
テレワークの最新動向と今後の政策展開

mail_hatarabo_archives_8.jpg

この記事に関連するタグ