テレワークを導入する場合、セキュリティ対策が必要不可欠です。この記事では、総務省が発表している「テレワークセキュリティガイドライン」の内容について、詳しく解説します。テレワークを導入する際に、経営者、システム担当者、勤務者のそれぞれがどのような対策をすべきか紹介しますので、テレワークの導入を検討するための参考にしてください。
目次
テレワーク環境の整備・構築にお悩みなら、KDDI まとめてオフィスにおまかせください
テレワークとは?
情報通信技術(ICT)を活用し、オフィス以外の場所で働くことです。「離れた場所」を意味する「tele」と、「仕事」を意味する「work」を掛け合わせ、テレワークという言葉が生まれました。時間や場所にとらわれずに働けるため、勤務者にとってメリットがあります。テレワークの種類としては、在宅勤務(リモートワーク)、モバイルワーク、サテライトオフィス勤務などがあります。
テレワーク導入で高まるセキュリティ事故のリスク
テレワークの導入には多くのメリットがありますが、セキュリティ事故のリスクが高まるのも事実です。テレワークを導入する際は、セキュリティ事故のリスクについて企業がきちんと意識し、対策を講じておく必要があります。
テレワーク時のセキュリティ事故にはどのようなものがあるか
テレワークをするにはパソコンを社外に持ち出す必要があり、紛失や盗難のリスクがあります。パソコンに重要なデータが保管されていた場合、第三者に内容を抜き取られて情報漏えいにつながる恐れもあります。また、セキュリティに問題のあるフリーWi-Fiを利用した場合、通信内容が流出する可能性もあるため注意が必要です。勤務者自身が気をつけていても、情報漏えいが発生する可能性は少なからずあります。
テレワーク時のセキュリティ事故の発生を防ぐには
総務省は「テレワークセキュリティガイドライン」を出して、セキュリティ事故の対策を示しています。テレワークを導入する際は、ガイドラインに則った対策をしてセキュリティ事故の発生を防止しましょう。ガイドラインの詳細については、以下で解説します。
総務省「テレワークセキュリティガイドライン」とは
総務省「テレワークセキュリティガイドライン」では、企業がテレワークを実施する際に押さえておくべきセキュリティ対策について書かれています。ここでは、総務省「テレワークセキュリティガイドライン」の具体的な内容について解説します。
どのような内容が書かれているのか
ガイドラインの内容は大きく3つにわけられます。1つ目は、テレワークに際して必要なセキュリティ対策の考え方です。テレワークを始めるなら、セキュリティ対策の基本的な考え方から理解する必要があります。2つ目は、テレワークにおけるセキュリティ対策のポイントです。経営者、システム管理者、勤務者のそれぞれが実践すべき対策が具体的に示されています。さらに、3つ目はテレワークのセキュリティ対策のそれぞれに関する詳しい解説となっています。
現在は第4版
総務省「テレワークセキュリティガイドライン」は平成30年4月に第4版が発行され、これが最新版となっています。ワークスタイルや技術の変化を踏まえ、第3版からさらに内容が追加されています。たとえば、クラウドサービスやSNSを利用する際の留意点について追加されました。
また、テレワークに関するトラブルの事例や対策についても言及されています。コラムも掲載されていますので、テレワークの導入のためのセキュリティ対策において幅広く役立てられます。
総務省「テレワークセキュリティガイドライン」の内容を、実際の資料の内容に沿って簡潔にご紹介します
ここからは、総務省「テレワークセキュリティガイドライン」の具体的な内容について解説します。なお、ここで紹介する内容は、総務省「テレワークセキュリティガイドライン」第4版の内容に基づいています。
(1)テレワークにおける情報セキュリティ対策の考え方
1つ目の「テレワークにおける情報セキュリティ対策の考え方」では、以下の項目について書かれています。
「ルール」「人」「技術」のバランスが重要
組織の情報資産を守るには、「ルール」「人」「技術」のすべてにおいて有効な対策を取る必要があります。どれかひとつに偏るのではなく、すべてを一定のレベルに保ちながら運用するのが重要なポイントです。すべてのバランスが整っていれば、組織としてのセキュリティレベルも高い状態を維持できます。
テレワークの方法に応じた対策をする
作業内容や予算により、テレワークが6種類のパターンにわけられています。それぞれ必要な対策が異なることが示されており、具体的な対策の特徴がまとめられています。
経営者、システム管理者およびテレワーク勤務者それぞれの立場でセキュリティ対策を行う
テレワークに関わる立場を経営者、システム管理者、テレワーク勤務者にわけ、それぞれが行うべきセキュリティ対策の概要が示されています。テレワークのセキュリティを維持するには、それぞれの立場に適した認識をもつことが大切です。どのような認識をもち、具体的にどのように行動すべきかについてまとめられています。
(2)テレワークセキュリティ対策のポイント
2つ目の「テレワークセキュリティ対策のポイント」は以下の項目にわけられており、テレワークにおいてそれぞれの立場の人が何をすべきかがまとめられています。ポイントが端的に記載されていますので、それぞれの立場の人が自己点検のために活用することも可能です。ポイントを押さえておけば、いつでも正しい考え方でテレワークを進められます。なお、それぞれのポイントの詳細は、さらに次の項目で詳しくまとめられています。
経営者が実施すべきセキュリティ対策
経営者が自社のセキュリティポリシーを定め、定期的なチェックや見直しを行う必要があると示されています。
システム管理者が実施すべきセキュリティ対策
情報セキュリティ保全対策の大枠として、悪意のあるソフトウェアへの対策や、端末の紛失・盗難への対策について言及されています。重要な情報の盗聴、不正侵入・踏み台、外部サービスの利用などへの対策についても記載されています。
テレワーク勤務者が実施すべきセキュリティ対策
テレワーク勤務者が勤務中に注意すべき点がまとめられています。具体的には、悪意のあるソフトウェア、端末の紛失・盗難、重要な情報の盗聴、不正侵入・踏み台、外部サービスの利用など、多岐にわたる内容が含められています。
(3)テレワークセキュリティ対策の解説
1つ目と2つ目の内容をもとに、それぞれの立場の人が何をすべきかがまとめられています。トラブルの具体的な事例と対策例などについても記載されています。ここではすべてを解説しきれないため、一部の内容についてみてみましょう。すべての内容を知りたい場合は、実際に総務省「テレワークセキュリティガイドライン」を確認してください。
情報セキュリティ保全対策の大枠組
経営者は情報セキュリティポリシーを作成し、監査や見直しを行う必要があります。また、勤務者は自分自身に情報資産を管理する責任があることを自覚しなければなりません。社内全体の様子を常に見守るとともに、自分自身も情報セキュリティポリシーに従って業務に取り組みます。そのうえで、定期的に自己点検を行うべきです。
マルウェア対策
システム管理者は、テレワーク勤務者が危険なWebサイトにアクセスできないよう設定する必要があります。そのうえで、勤務者自身もセキュリティリスクへの対策を徹底しなければいけません。たとえば、OSやブラウザのアップデートを行っていない状態で社外のWebサイトへアクセスしないよう、気をつけることが大切です。
端末の紛失・盗難対策
テレワークのために自社から端末を貸与する場合は、管理者が台帳を作成して端末の所在や利用者を正確に管理する必要があります。勤務者自身も、機密性の高い電子データは外部で管理しなくても済むように努めるべきです。どうしても必要なときは必ず暗号化し、盗難に注意しながらデータを保存しなければなりません。
重要情報の盗聴対策
テレワークで使用する端末については無線LANの脆弱性への対策を行うよう、管理者が呼びかけましょう。勤務者自身も無線 LAN の利用によって起こりうるリスクを正しく理解しておく必要があります。そのうえで、テレワークで無線 LANを使用する場合は、セキュリティが万全に整えられた状態にしましょう。
不正アクセス対策
不正アクセスへ対抗するには、社外から社内システムにアクセスするための利用者認証が必要です。利用者認証は、明確な技術的基準をもとにして管理者が運用しなければなりません。そして、勤務者は社外から社内システムにアクセスするために付与されたICカードやパスワードを適切に管理する必要があります。
外部サービスを利用する際の対策
管理者は、情報漏えいにつながる可能性の高い外部サービスの利用をあらかじめ禁止すべきです。ファイル共有サービスをはじめとするパブリッククラウドサービスについては、利用に関する厳格なルールを設ける必要があります。勤務者も社内のルールを守り、決められた範囲内でのみ外部サービスを利用するようにします。
【参考】テレワーク時にはクラウドの導入がおすすめ
総務省の「テレワークセキュリティガイドライン」を踏まえると、テレワークにはクラウドの導入がおすすめです。クラウドには高いセキュリティ対策が施されています。それだけでなく、テレワークにおける業務をスムーズに進めるための機能が多数備わっています。テレワークに適した環境を整え、セキュリティ対策をしっかり行いましょう。
テレワーク導入時のセキュリティ対策について相談をする (無料)
→こちらも併せて読みたい「テレワークの導入にクラウドが適している理由とは?メリットや注意点、必要なものを解説」
まとめ
テレワークを導入する際は、総務省「テレワークセキュリティガイドライン」の内容を把握しておくことが重要です。そのうえで自社に必要な対策を取り入れ、セキュリティを万全に整えてからテレワーク勤務をスタートさせましょう。
KDDI まとめてオフィスでは、テレワークに役立つサービスを提供しています。KDDIの高品質で安全性の高いサービスをそのまま提供しており、ウイルスや情報漏洩への対策はもちろん、端末の紛失や自然災害への対応までカバーできます。安全にテレワークを進めるために、ぜひ活用してください。
KDDI まとめてオフィスのテレワークにおけるセキュリティ対策のご紹介はこちら
※ 記載された情報は、掲載日現在のものです。