ITお役立ち情報
2020/12/23

『テレワークセキュリティガイドライン』の概要と考え方

『テレワークセキュリティガイドライン』の概要と考え方

新型コロナウイルス禍で一気に普及が進んだテレワークですが、行政は今後もアフターコロナ、ウィズコロナのニューノーマルな働き方、働き方改革の実現手段の一つとして、テレワークを定着させたいとの意向で、助成金を出すなどの施策に乗り出しています。

雇用者・被雇用者ともにメリットの多いテレワークですが、デメリットがないわけではありません。その一つが情報セキュリティのリスクで、実際にテレワーク導入後、インシデントが発生しないまでもリスクを身近に感じた情報システム担当の方も少なくないのではないでしょうか。

そんな中、総務省が『テレワークセキュリティガイドライン』を改訂中です。
本コラムでは、『テレワークセキュリティガイドライン』第4版の概要と考え方を紹介し、取り入れるべき部分をクローズアップします。

【関連記事】
テレワークにおけるセキュリティ対策

テレワーク時におけるセキュリティリスク

オフィスへ出勤している時とはネットワークやシステム環境が異なるテレワーク。
主に自宅を職場とするテレワーク実施のためには、ICT機器とインターネットが不可欠ですが、その分、企業として管理しなければならないデバイスが増え、ネットワークも広がるため、セキュリティ対策は複雑化します。

改めて、テレワーク時におけるセキュリティリスクを整理してみましょう。

不正アクセスのリスク

テレワークに際し、すべてのICT機器を支給できる企業は多くないでしょう。その場合、従業員は自前の機器を使って業務を行うことになりますが、オフィスの備品とは異なり、一定期間ごとのソフトウェアのバージョンアップなどが徹底されているわけではありません。そのため、古いソフトウェアやパスワードがそのまま使われていることも珍しくありません。

また、自宅で個人契約しているWiFiのセキュリティが必ずしもセキュアなものではない点も問題です。2020年12月現在、もっとも新しくセキュアな認証プログラムは「WPA3」ですが、WPA2やWPAでつないでいればサイバー攻撃者に通信を盗み見られる可能性があり、いくらVPN接続を行ったところで情報漏えいの恐れは消えません。
公共の場でフリーWiFiに接続して業務を行うのは、もってのほかといって良いでしょう。

従業員のミスや故意による情報漏えい

前項でお伝えしたようなポイントが守られていても、従業員側にミスや悪意があればセキュリティインシデントは免れません。

ミスの例を挙げれば、自宅の施錠を怠るなど管理ミスでPCや書類を盗まれたり、モバイルデバイスやUSBメモリを持ち出して紛失してしまったり、メール・FAXなどを誤送信したりなど。
標的型メール攻撃による被害も、ある意味では人為的ミスといえます。

故意によるものは、もともと会社や上司などに対する不満を抱えていた従業員が、上司の目が行き届きにくく帰属意識も薄れやすいテレワーク下で、重要データへアクセスできるアカウント情報や、データそのものをオークションサイトなどで不正に売り渡すといったものです。

【関連記事】
テレワークにおけるセキュリティ対策

『テレワークセキュリティガイドライン』とは

このような背景の中、総務省が『テレワークセキュリティガイドライン』を改訂中で、2020年中には第5版が公開される予定です。現在、公開されているのは、2018年4月に公開された第4版ですが、第5版が出るまではこちらに準拠してセキュリティ体制を整えると良いでしょう。

『テレワークセキュリティガイドライン』とは、総務省が、企業などがテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用できるように取りまとめた指針です。2004年12月に初版を発表後、3回の改訂が行われました。

『テレワークセキュリティガイドライン』第4版は、「1.テレワークにおける情報セキュリティ対策の考え方」「2.テレワークセキュリティ対策のポイント」「3.テレワークセキュリティ対策の解説」の3つの章に分かれています。
また、第4版から「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)が公開され、情報セキュリティの専任担当がいないような中小規模の企業でも、自社のセキュリティ対策がガイドラインに沿っているかどうかを手早く確認できるようになりました。チェックリストには、チェックリストの対策を実施するための具体的なアドバイスも記載されています。

『テレワークセキュリティガイドライン』より取り入れるべき考え方

前章でお伝えした通り、『テレワークセキュリティガイドライン』第4版は3つのパートから成っており、「1.テレワークにおける情報セキュリティ対策の考え方」が全体の根幹を成す見解を表しています。
ここでは、同章を嚙み砕いてご紹介いたします。

「ルール」「人」「技術」のバランスを取る

情報セキュリティを高水準で保つために必要な要素が「ルール」「人」「技術」の3つです。
ガイドラインでは、自社にとって最もバランス良くなるように、この3要素を保つことが重要だと述べられています。

ルール

同ガイドラインでの「ルール」とは、セキュリティの専門家ではないテレワーク勤務者のセキュリティ意識の拠り所となり判断基準となるもののことです。
ルールづくりを主導するのは経営者であり、システム管理者は実務を担当するかたちとなります。

「ルール」を作るのも「人」ですし、それを守ったり守らせたりするのもまた「人」です。
同ガイドラインでの「人」には、経営者・システム管理者・テレワーク勤務者が含まれます(それぞれの立場については後述します)。

「ルール」を策定したら、周知のうえ研修など教育を行い、自己啓発を促し、各々が高いセキュリティ意識を維持することが大切です。

技術

同ガイドラインでの「技術」とは、テクノロジーを用いて認証・検知・制御・防御を自動的に実施できるソフトウェアやサービスの利用を指しています。
そして、その際は、テレワーク先の個々の環境に合わせた適切な対策を講じる必要があります。

採用しているテレワークの方式に応じた対策を取る

ガイドラインで示されているテレワークの実施方法は以下の6つです。

(1)リモートデスクトップ方式
(2)仮想デスクトップ方式
(3)クラウド型アプリ方式
(4)セキュアブラウザ方式
(5)アプリケーションラッピング方式
(6)会社PCの持ち帰り方式

これら複数を組み合わせて実施しているところもあるでしょう。

ガイドラインでは、それぞれの方式について、セキュリティ対策の難易度などについて触れられており、「テレワーク端末に電子データを保存するか?」「クラウドサービスを利用するか?」といった項目での比較表も掲載されています。
自社が採用しているテレワークの方式のセキュリティ上の特徴を知っておくことが大切です。場合によっては、異なる方式への切り替えを検討する必要も出てくるでしょう。

経営者、システム管理者、テレワーク勤務者、それぞれのあるべき姿を知る

情報セキュリティ対策においては、企業の中に「経営者」「システム管理者」「テレワーク勤務者」の3つの立場が存在します。
それぞれ、自身の立場でのあるべき姿を把握しておくとともに、異なる立場の視点も知っておくことでセキュリティ対策がスムーズになるでしょう。

経営者

経営者は、「ルール」で取り上げたルールづくりを推進する立場にあります。
情報セキュリティインシデントが発生した際は、信頼の喪失や金銭的被害といった経営に直結するダメージを被ることを認識し、防止のためのルールを定めていく役割です。

こうした立場を自覚した上で、セキュリティ対策に必要な人材と費用を確保することが求められます。

システム管理者

システム管理者は、社内システムとネットワークを不正侵入・不正アクセスから守る立場にあります。社内システムから社外へのマルウェア感染なども含めて具体的な対策を検討・実施する役割です。

また、経営者が主導するルールづくりを補佐したり、テレワーク勤務者へのルールの周知や教育なども担うことになるでしょう。

テレワーク勤務者

テレワーク勤務者は、情報セキュリティに関する社内ルールを遵守する立場にあります。
研修などで学んだセキュリティ知識を元に、不審なメールや端末、データの管理には常に注意を払う必要があります。

特に、テレワーク業務時に使用する端末の管理は、システム管理者任せにすることなく、責任を持って管理する意識が求められます。

まとめ

セキュリティに不安を感じながらテレワークを実施していた企業様にとっても、セキュリティリスクがネックで踏み切れなかった企業様にとっても、総務省の『テレワークセキュリティガイドライン』は拠り所となるでしょう。第5版の公開も期待されます。

本コラムや『テレワークセキュリティガイドライン』も、セキュリティ対策を講じながらテレワークを実施するためにぜひお役立てください。

アイネスでは、様々なクラウドアプリケーションの活用やセキュリティサービスの豊富な導入実績をもとに、お客様のご要件や状況に合わせ、各種サービスを組み合わせた最適なテレワークソリューションをご提案いたします。

テレワークにおける情報セキュリティ対策についてのご相談は、当社にお気軽にお問い合わせください。

【関連サービス】テレワークソリューション

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。

ITでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談下さい。

INES_logo_CTA