近年、働き方改革の一環で企業へのテレワーク導入が政府主導により推進されています。
テレワークはとても便利ですが、デメリットの1つとして情報漏えいのリスクの拡大が挙げられます。そこで、総務省ではテレワーク導入企業に対し、セキュリティ対策の指針となる「テレワークセキュリティガイドライン」をまとめ公表しました。この記事ではテレワークセキュリティガイドラインの重要性と内容について解説します。
テレワークセキュリティガイドラインとは?
テレワークセキュリティガイドラインとは、これからテレワークを導入する企業のセキュリティ対策の指針となるべく総務省が作成したガイドラインです。ガイドラインでは、以下の内容が記されています。
①企業で管理する電子データ、情報システムなどは「情報資産」
ガイドラインでは、企業で管理する情報は「情報資産」であることが強調されています。そのうえで、セキュリティ対策が不完全な場合は、情報漏えい、重要情報の喪失、作業中断などのリスクがあると訴えています。
②総務省のテレワークセキュリティガイドラインとは?
総務省のテレワークセキュリティガイドラインは、平成16年に初版が発行されました。平成30年4月には最新版の第4版が公表されています。内容はICT(情報通信技術)の発達に合わせて、都度改訂されています。第4版の特徴として、個人のデバイスを業務用に使用する「BYOD」やクラウドサービスを利用する際の留意点などといった最新情報が追加されている点が挙げられます。
③テレワークセキュリティガイドライン第4版の内容
第4版は大きく以下の3つの内容で構成されています。
第1章:テレワークの導入方式とセキュリティ対策の考え方
そもそものテレワーク導入に関する知識や、導入時のセキュリティ対策について解説されています。
第2章:セキュリティ対策のポイント
セキュリティ対策を具体的にどのように行えばよいのか、経営者、情報システム管理者、テレワーク勤務者のそれぞれの視点で解説されています。
第3章:セキュリティ対策についての解説(トラブルと対策の事例)
具体的なトラブルと対策の方法についてケーススタディとともに解説されています。
テレワークをこれから導入する企業でも、すでに導入している企業でも、随時更新される総務省のガイドラインはとても役立つでしょう。常に最新版を参照することがおすすめです。では次に、テレワーク導入のためのセキュリティ対策の考え方についてご紹介しましょう。
テレワーク方式別セキュリティ対策
ここでは、ガイドラインに書かれているテレワークの導入方式とセキュリティ対策の考え方についてご紹介します。テレワークセキュリティガイドラインでは、テレワークの導入方式を以下6つのパターンに分類しています
(引用:テレワークセキュリティガイドラインP.9より)
また、システム管理者だけでなく経営者、テレワーカーの立場ごとにも対策のポイントがまとめられています。
セキュリティ対策のポイント
ガイドラインの第2章では経営者、情報システム管理者、テレワーク勤務者の立場からそれぞれが実施すべきセキュリティ対策のポイントについて解説しています。
経営者が実施すべき対策情報
経営者が会社全体の視点に立ってセキュリティ対策を行うことについて解説されています。特に第4版では、情報漏えいのリスクを避けるために社内情報の取り扱いについてテレワークで扱えるものと扱えないものを分けることが明示されました。また、セキュリティ対策の重要性を理解したうえで対策のための適切な投資を行うことが強調されています。
②システム管理者が実施すべき対策
システム管理者に対しては、より実務的な内容として細かな対策が明示されています。第4版では、情報レベルに応じたアクセス制御や暗号化、重要データの社外ネットワークからの切り離し、無線LANの脆弱性への留意、ファイル共有やSNSなど最新のツールへの注意喚起が記されています。
②テレワーク勤務者が実施すべき対策
テレワークを利用する勤務者の視点からのセキュリティ対策が記されていることも大きな特徴です。日頃から情報漏えいに備えることや、会社で許可されていないソフトウェアの使用やマルウェア(悪意のあるソフトウェアや悪質なコードの総称)の対策にも具体的に言及しています。第4版では、公衆無線LANを使用する際の留意点も追加されました。
次にガイドラインの3つ目にあたるセキュリティ対策の解説と実際におきたトラブルや対策の一覧についてご紹介します。
セキュリティ対策の事例と一覧
ガイドラインの第3章は、前述した実施すべきセキュリティ対策のポイントについての詳細な解説、トラブルの対策事例などが具体的に記載されています。ここでは、その内容の一部をご紹介しましょう。
①経営者が実施すべきセキュリティ対策
第4版では、情報のレベル分けに関するトラブル事例が紹介されています。テレワーク勤務者が社外でも顧客情報を見られるようにしてしまったため、第三者にPC画面を覗き込まれたことにより秘密情報が流出してしまったケースです。このようなケースでは、あらかじめ重要情報の取り扱いや閲覧方法についてルールを定め、場合によっては社外からのアクセスを遮断する措置が対策として記載されています。
②情報システム管理者が実施すべきセキュリティ対策
情報システム管理者は、OSだけでなくミドルウェアやアプリケーションも含めた総合的なアップデートの必要性や仮想デスクトップの使用を検討することが対策として挙げられています。特に、近年ではバージョンの古いPCやアプリケーションの脆弱性を狙ったサイバー攻撃も発生しています。第4版の中では、特にアップデート管理の重要性が強調されています。
②テレワーク勤務者が実施すべきセキュリティ対策
テレワーク勤務者に対しては、マルウェア対策が強調されています。あるテレワーク勤務者が業務上必要な情報を収集するために海外のサイトを閲覧したことで、ランサムウェア(マルウェアの一種)に感染してしまいPCがロックされてしまった事例が紹介されています。このケースに対しては、ウィルスやマルウェア対策のソフトウェアのインストールが対策として挙げられています。
以上のようにガイドラインの第3章では、経営者、情報システム管理者、テレワーク勤務者の立場からトラブル事例と対策例が記載されています。そのため、テレワークのセキュリティ対策が具体的にイメージしやすい内容となっていますよね。
テレワークセキュリティガイドラインの活用
総務省のテレワークセキュリティガイドラインには、経営者、システム管理者、テレワーク勤務者の立場における対策がリストアップされています。ガイドラインを活用すれば、自社のセキュリティ対策を検討しやすくなりますよね。テレワーク導入を進めつつ、事例を基に自社で起こりえる問題をあらかじめ回避できる体制を整えておきましょう。
この記事を読んだあなたにおすすめ!