テレワーク導入前に総務省のセキュリティガイドラインをチェック
インターネット時代により、時間や場所を選ばない柔軟な勤務形態(テレワーク)が広がってきています。特定の場所に通勤しなくても良いため、子育て中や地方に住んでいる人材を活用できる優れた仕事のあり方といえるでしょう。ただし、自社にテレワークを導入するなら、総務省が出している「テレワークセキュリティガイドライン」の内容を把握しておくことが大切です。インターネットを介して行われるテレワークでは情報セキュリティ対策が必要不可欠であり、対策を怠れば企業にダメージを与える恐れがあります。そこで、この記事では総務省のセキュリティガイドラインについて説明し、テレワークにおける具体的なリスクと対策について解説していきます。
総務省の「テレワークセキュリティガイドライン」とは?
テレワークは政府が普及を推進している勤務形態で、すでにアメリカでは8〜9割の企業が導入しているものです。日本では2014年の段階で、従業員が100人以上の企業においてはまだ11.5%と導入率が低い現状があります。ただし、世界的な導入の広がりや政府の推進などとあわせて、これからもますます導入する企業は増えていくでしょう。テレワークを検討する際に気になるのは情報セキュリティなのではないでしょうか。インターネットを介する仕事が多いテレワークでは、セキュリティの不備によって情報漏洩やウイルス感染などのリスクは付いて回ります。そこで参考にしたいのが総務省による「テレワークセキュリティガイドライン」です。
これはテレワークにおけるセキュリティ対策について具体的に解説しているもので、2018年4月に第4版が公開されました。版を重ねている理由は、検討委員会により内容の見直しが随時行われているからです。つまり、ハッカーなどは日々巧妙なやり方で侵入を試みており、セキュリティ対策もまた進化し続けなければならないのです。そのため、テレワークを導入している企業やこれから導入する企業は、常に最新版の内容を把握する必要があります。
テレワークセキュリティガイドライン(第4版)では、「テレワークにおける情報セキュリティ対策の考え方」「テレワークセキュリティ対策のポイント」「テレワークセキュリティ対策の解説」の3つに焦点を絞り、それぞれ具体的に解説しています。とりわけテレワークセキュリティ対策のポイントでは、経営者・システム管理者・テレワーク勤務者がそれぞれ実施すべき対策が詳しく書かれているので参考にできます。大切なのは企業側だけではなくテレワーク勤務者も積極的に対策を取る必要があるということです。双方が一体となって対策をすることで、より強固なセキュリティを築けることを本ガイドラインでは示してくれています。
また、本ガイドラインの優れているところは、難しいIT用語などを解説してくれている用語集や、経済産業省・厚生労働省などによる別のガイドラインなどを集めた参考リンク集も掲載している点です。一通り目を通すことで、テレワークにおける安全性を高める方法が一目瞭然となるので積極的に活用していきましょう。
テレワーク導入によって起こりうるセキュリティリスク
テレワーク導入におけるセキュリティリスクには、具体的にどのようなものが考えられるのでしょうか。前述のように、テレワークは情報通信技術(ICT)を利用することで実現する、時間や空間を有効活用できる働き方のことを指します。たとえば、在宅勤務やモバイル機器による業務、サテライトオフィス(オフィスから離れた遠隔拠点)での業務などがあります。勤務者によって働く場所はさまざまであり、また使用する端末やインターネット回線も多様です。
気をつけておきたいのは、たとえどのような仕事内容であっても企業の重要な情報を扱う以上、セキュリティマネジメントは必ず行わなければならないということです。ただし、従来のセキュリティマネジメントでは十分機能しない可能性があるため、テレワークを導入する場合はテレワークの事情を考慮したマネジメントが必要となることに留意しましょう。勤務者が基本的にどのようなネットワーク環境や端末であったとしても対応できるように対策することが求められます。
また、セキュリティ対策においては、全体の中でもっとも脆弱な部分が全体のセキュリティレベルとなります。堤防に開いた小さな穴から水が侵入して巨大な堤防を決壊させてしまうように、小さなセキュリティホールなどがあればそこからウイルスなどが侵入することは珍しくありません。とりわけ、クラウドサービスを利用しているテレワークの場合には注意が必要となります。社内から社外へはクラウドサービスを利用しても、その逆にはリスクが伴います。クラウドサービスは便利ではあるものの、テレワークに際してはどこまで利用範囲を広げるかはきちんと考慮しなければなりません。セキュリティに弱い部分があればほかをいくら強くしても全体のレベルを上げることはできないと念頭に置いておきましょう。
「テレワークセキュリティガイドライン」を取り入れるポイント
前述の「テレワークセキュリティガイドライン」をうまく取り入れるためには、導入ポイントをきちんと押さえることが重要です。まずは保護しなければならない情報を洗い出し、それらには具体的にどのようなリスクがあるのか把握する必要があります。そのうえでセキュリティのレベル分けをし、それぞれにあった対策をとることが大切です。
また、セキュリティを強化するには、やり取りに関わるすべての人や組織が、セキュリティマネジメントを徹底する意識を持つことも重要です。社内教育を徹底するだけではなく、定期的にテレワーク従事者に対しても教育や啓発を行います。ガイドラインには、経営者がなすべきことやシステム管理者が気をつけておくべきこと、テレワーク従事者がしておくべきことがそれぞれ具体的に掲載されています。個々の役割を明確にすることも、セキュリティ対策の第一歩といえます。さらに、システム管理者にはセキュリティインシデントに備えてすぐに対策が取れるよう、こちらも定期的に模擬演習を行うことも重要です。
企業ができる対策1:独自のセキュリティーポリシーの策定
企業ができる対策として、セキュリティーポリシーの策定は大変重要な役割を持ちます。企業の経営者はテレワークの実施に関するセキュリティポリシーを定め、またすでに述べたように定期的に見直しをおこなう必要があります。さらに、セキュリティーポリシーに基づいた対策をとり、それぞれ「PDCAサイクル」を回す体制を整えることも重要です。総務省のセキュリティガイドラインでも、セキュリティの指針であるセキュリティポリシーを見直すことも重要だと説かれています。
本ガイドラインが第4版であることからもわかるように、1度決めたポリシーを延々と守り続けるのではなく、必要に応じて更新することが大変重要です。その際に取り入れたいのがPDCAサイクルです。これは、Plan(計画)・Do(実行)・Check(評価)・Action(改善)の頭文字をとったもので、この順にセキュリティマネジメントの運用具合を確認すれば、自然と策定したポリシーの問題点が見えやすくなります。PDCAはサイクルと名付けられている通り、改善後もまた計画や実行へとコマを進めていくものです。こうした日々の努力により、セキュリティインシデントに備えることが必要です。
ポリシーの策定は経営側の役割です。いくらサイバーセキュリティ担当者が努力したとしても、企業全体でセキュリティに対する意識が低ければ、いつかインシデントが発生してしまいかねません。経営陣のセキュリティに対する知識が低ければ担当者と話し合うなどして、早急にポリシーを策定しましょう。
企業ができる対策2:テレワークに関する技術面の強化
技術面の強化も企業ができる対策として有効です。策定したセキュリティーポリシーに則り、セキュリティ対策を実現するための具体的な行動をとることも必要不可欠です。たとえば、データのアクセス制御やウィルスソフトのインストールと更新、最新OSへのアップデートなどが該当します。また、フィルタリング機能やファイアウォールの導入など、すでに一般的となっているセキュリティ対策はいずれも導入しておく必要があるでしょう。
さらに、失われて困る重要なデータはバックアップをとっておくことも大事な要素です。ランサムウェアに感染すると、パソコンがロックされたりデータが暗号化されたりして使用不能になってしまいます。加えて、元に戻すことを条件にハッカーから身代金を請求されることもあり、仕事が滞ってしまうだけではなく莫大な支払いを強いられるケースもあります。このような自体を避けるためにデータのバックアップは重要で、バックアップされたものは感染しないよう社内のネットワークシステムから切り離して保管しておきます。
そのほかにも、スパムメールからリンクを踏んでウイルスなどに感染するケースがあるので、怪しいメールは迷惑メールフォルダに振り分ける設定をし、決して開かない対策もしておきましょう。社員の努力に任せるだけではなく、技術的に解決できるものは積極的に行なっていくことが大切です。
企業ができる対策3:テレワークを実施する社員の意識付け
一人ひとりのテレワーク勤務者に対するセキュリティへの意識付けも大切となります。テレワーク勤務者の多くはひんぱんに会社に顔を出さないため、通勤している従業員と比べるとどうしてもセキュリティに対する意識が低くなりがちです。対策を徹底させるためには、企業側で定期的かつ積極的な教育や啓発を行う必要があります。具体的には、セキュリティポリシーに則って業務ができているかなどを、定期的に自己点検をさせたり報告をさせたりすることです。上司や担当者などの目が届きにくい仕事環境なので、報告や連絡といったコミュニケーションは密に取る必要があります。また、メールを開く場合は送信元が不審ではないか、添付ファイルやリンクは怪しくないかなどを確認するクセをつけさせることも重要です。
さらに、アプリケーションのインストールはシステム管理者への申請制にしたり、重要データや機密情報の送信には暗号化を義務付けたりすることも行うべき対策でしょう。加えて、SNSや共有ファイルといったクラウドサービスを利用する場合には、社内でガイドラインを設けてルールに従うよう求めることもポイントです。そのほかにも、私用のパソコンを使って仕事をしない、端末を不正に改造しない、盗難に気をつけるなど、会社を離れて仕事をするテレワーク勤務者ならではのルールも決めておきましょう。
自社に合ったテレワークのセキュリティ対策をするには?
ここまでいくつものセキュリティ対策の例を書いてきましたが、もっとも良いのは自社にきちんとあったテレワークのセキュリティマネジメントを行うことです。テレワークといっても千差万別で、ほかの企業のやり方をそっくりそのまま真似ても、方向性が合わなければ思うような効果を得られないこともあるのです。前述のように、リモートデスクトップ方式や仮想デスクトップ方式、会社PCの持ち帰り方式など、テレワークにはさまざまなパターンがあります。それぞれの働き方によって、かかる経費や必要な準備も異なるので、それを踏まえた対策を考える必要があるのです。
また、セキュリティ対策を万全にするには、自社が管理しやすい方式を選ぶ必要もあります。低価格で質の悪いセキュリティ対策を導入してしまったり、逆にオーバースペック気味の複雑なシステムを構築してしまったりすると、いざインシデントが発生した場合に対応が遅れてしまうことがあるでしょう。きちんと管理していれば防げたわずかなセキュリティの穴も、管理のしづらさやセキュリティソフトの質の悪さが災いして、結果的に重大なアクシデントに結びつくこともあるでしょう。いずれにせよ、セキュリティは他人任せにしたり自分たちの能力を超えたオーバースペックにしたりするのではなく、確実に管理できる範囲で高い安全性を保つことができるものを選ぶのがポイントです。
まとめ
テレワークは地方に住んでいる優秀な人材を獲得できたり、子育てや介護などで休職中の社員へ仕事を割振れたりできるので、上手に活用すればビジネスに大いに役立ちます。企業にとっても勤務者にとってもウィンウィンの関係を保てるテレワークは、これからもますます一般的となっていくことでしょう。政府も積極的に推進しているテレワークを導入する際には、セキュリティマネジメントは必要不可欠な要素です。テレワークにおけるセキュリティの不安は、しっかりと情報収集したのちに自社にあった方法を選び、きちんと実践していくことが大切です。