テレワークの情報セキュリティ、どう考える?
今まで企業で管理する紙文書、電子データ、情報システム等の情報資産は、オフィスの中で管理され、外部に持ち出されることはありませんでしたが、テレワークを行う場合は、作業の際にセキュリティレベルが不明のインターネット回線を使用したり、端末を社外へ持ち出して使用する機会が圧倒的に増え、必然的にウィルス感染やデータの紛失や盗難、情報漏洩などの脅威に晒されることになります。
これを適切に防ぐためには、テレワークを踏まえた新しいセキュリティルールの設定、そのルールを守るための従業員への教育、実際にセキュリティを維持したり、脅威が訪れた時に対策するだけの技術が必要となります。
2018年4月、総務省が掲げるセキュリティガイドラインが改定されました。昨今の社会や技術の変化(クラウドサービスやSNSの普及等)や、新たなセキュリティ上の脅威(無線LANの脆弱性、ランサムウェアや標的型攻撃の登場等)などを踏まえた内容になっています。このガイドラインを元に、テレワークセキュリティの対策ポイントを挙げてみましょう。
テレワークセキュリティ対策のポイント
1.セキュリティポリシーの設定と定期的な監査
自社における「情報セキュリティに関する方針や行動指針」をまとめたものを「情報セキュリティポリシー」と呼びます。まず経営者は、この情報セキュリティポリシーを定め、定期的に監査や見直しを行う必要があります。システム管理者はそれに従って、テレワークのセキュリティを維持する技術的対策を講じ、テレワーク勤務者は、自らが利用する情報資産の管理責任を負うことを自覚し、情報セキュリティポリシーに沿って業務を行う必要があります。
また、
2.悪意のソフトウェアに対する対策
テレワーク用に貸与する端末にはマルウェア感染を防ぐために、ウイルス対策ソフトのインストール・OSやブラウザのアップデートを常に最新のものにしておく・危険なサイトにアクセスできないようにあらかじめフィルタリングしておく・アプリケーションのダウンロードを許可制にするなどの対策が求められます。メールでのやりとりにも十分に注意喚起し、不審なメールの添付ファイルを触らないようにするなど、テレワーク勤務者に対する教育は徹底しておくと良いでしょう。
また、私的端末を利用する際は、その端末に必要な情報セキュリティ対策が施されていることを確認することをおすすめします。タブレットやスマートフォンに関しても同様で、脱獄やroot化などの不正改造がなされていないかを確認するようにしましょう。
3.端末の紛失・盗難を防ぐ
テレワークで特に懸念されるのが、端末の持ち運びについてです。オフィス外に情報資産を持ち出すとき、その原本を安全な場所に保存しておく必要があります。また、貸与する端末は、常に所在や利用者を管理するようにしましょう。テレワーク勤務者に関しては、機密性の高い情報を管理させる必要が生じないフローを作ること・記録媒体の盗難についても留意しておくことを意識すると良いでしょう。
4.重要情報の盗聴・不正侵入に対する対策
盗聴や不正侵入による情報漏洩も脅威のひとつです。会社側は社外から社内システムへアクセスするための利用者認証を適正に管理・運用すること、また社内システムとインターネットの境界線にファイアウォールやルータ等を設置し、アクセス状況の監視と不必要なアクセスの遮断に務める必要があります。
勤務者側は、電子データ送信の際の暗号化・アクセスパスワードの徹底した管理と定期的な更新・覗き見防止フィルタの設置などの対応が求められます。
5.外部サービスを利用する際の注意事項
メッセージアプリやSNS、ファイル共有サービス等のパブリッククラウドサービスの利用ルールやガイドラインの整備と周知が必要です。また勤務者にはこれらのルールをしっかりと理解し、遵守することへの教育が必須となります。
大切なのはルール作りと教育
テレワークは、少子・高齢化対策、経済再生、雇用創出、地域振興、防災・環境対策などの様々な目的でも効果があることが認められており、今後ますます推進されることが予想されます。
正しく安全にテレワークを導入するためにセキュリティ対策は必須事項です。 そのためにあらゆる事態を想定し、ルールをしっかりと作り込むこと、社内の意識改革も含め、その重要性をしっかりと周知・教育することがもっとも大切です。
テレワークセキュリティも含むテレワーク全般に関して、東京テレワーク推進センターが厚生労働省の委託事業として、相談窓口を設けています。
また、リモートワークラボでも随時ご相談を受け付けております。ぜひご利用ください。
セキュリティ対策に必要な12項目を、次の記事にまとめています。どうぞご参考に。