コラム
【解説】総務省のテレワークセキュリティガイドラインから読み解く『テレワークを行う6つの方式』
前回は厚生労働省のガイドラインをもとに、労働基準関連法令における留意点を中心に解説しました。
【解説】厚生労働省のガイドラインから読み解く『テレワーク導入時の留意事項』
今回は総務省が公表しているガイドラインの内容を2回に分けて解説します。
主にセキュリティに関する対策です。
出典:総務省「テレワーク セキュリティガイドライン」
テレワークにおける情報セキュリティ対策の考え方
効果的にセキュリティ対策を行うためには以下の3点をバランス良く対策する必要があります。
・ルール
安全にテレワークを行うためにルール・規程を定めること
・人
ルールを遵守するように従業員に対する教育を行うこと
・技術
テレワーク先の環境の多様性を考慮し、それぞれの環境で情報セキュリティを維持できる仕組みを導入すること
例えば「強力なセキュリティツールを導入したけれど、ルールや教育が徹底されず、実際の業務ではツールが使われていなかったため情報漏えいに繋がってしまった」という事態が起きかねないということです。
(この例は極端ですが、似たような事象は実際に起っています)
テレワークの方法
具体的にどのようなやり方でテレワークを行うのか、6種類のパターンをご紹介します。
出典
総務省「テレワーク セキュリティガイドライン」表1.テレワークの6種類のパターン
(1)リモートデスクトップ方式
テレワーク端末から、オフィスに設置された端末へアクセスし遠隔操作をして業務を行う方法です。
◯ メリット
・オフィスで利用しているのと同じ環境が利用できるため、オフィスで行っている業務を自然な形でテレワーク環境でも継続して行うことができる。
・データはオフィスの端末に保存されるため、テレワーク端末にデータが残らない。
◯ デメリット
・オフィスの端末を設置し、電源をつけっぱなしにしておかなければならない。(停電等で一度電源が切れたら、オフィスへ行って再起動をしなければならない)
・インターネット回線の速度が十分に確保できないと、操作性が低下する。
(2)仮想デスクトップ方式
サーバ上で提供される仮想デスクトップ基盤(VDI)に、テレワーク端末から遠隔でログインして利用する方法です。
◯ メリット
・オフィス端末を設置する必要がない。
・仮想デスクトップ環境を管理者が一括管理できるため、均質的なセキュリティ対策を実施できる。
・データはオフィスの端末に保存されるため、テレワーク端末にデータが残らない。
◯ デメリット
・インターネット回線の速度が十分に確保できないと、操作性が低下する。
・リモートデスクトップ環境を構築するための期間やコストがかかる。
(3)クラウドアプリ方式
オフィスかテレワーク環境かどうかを問わず、インターネットに接続している環境からクラウドで提供されるアプリケーションにアクセスすることにより業務を行う方法です。SaaS型のクラウドサービスを利用している場合は、この方法で業務を行っていることになります。
◯ メリット
・すぐに導入・利用開始できる。
・方式(1)(2)と比較すると、インターネットの速度が作業の操作性に及ぼす影響は限定的。
◯ デメリット
・作成したデータをテレワーク端末に保存することができてしまう。
(4)セキュアブラウザ方式
方式(3)の安全性を高めた方式です。特別なインターネットブラウザを使うことで、ファイルダウンロードや印刷などの機能を制限し、テレワーク端末にデータを保存させないことが可能です。
◯ メリット
・テレワーク端末にデータが残らない。
・セキュアブラウザ側で機能制限やセキュリティ対策を施すことができるため、安全性は高まる。
◯ デメリット
・テレワーク端末で利用できるアプリケーションは、この特別なブラウザ経由で利用できるものに限られるため、場合によっては特別なブラウザでは利用できないアプリケーションが発生する可能性がある。
(5)アプリケーションラッピング方式
テレワーク端末内に「コンテナ」と呼ばれる、ローカル環境とは独立した仮想環境を設けて、その中でテレワーク業務を行う方式です。コンテナ内で動作するアプリケーション(Excel、Word、インターネットなど)からローカル環境にアクセスすることができません。
◯ メリット
・テレワーク端末にデータが残らない。
・コンテナ内で動作させるアプリケーションはローカルPCにインストールされたものを利用するため、インターネット速度の影響を受けにくい。
◯ デメリット
・「コンテナ」などの環境構築を行うための期間やコストがかかる。
(6)会社PCの持ち帰り方式
オフィスで使っている端末をテレワーク先に持ち出して業務を行う方式です。テレワーク環境が整備されていない場合は、この方式を行っている企業が多いのではないでしょうか。なお、ネットワーク経由でオフィスにアクセスする必要がある場合は、情報漏えい対策として「VPN(Virtual Private Network、離れた場所の間を仮想的な専用線でつないで安全なデータ通信を実現する仕組み)」で接続することが前提となります。
◯ メリット
・インターネット回線の速度が操作性に影響しない。
・(VPNを利用しない場合)端末を持ち帰ればすぐにテレワークを開始できる。
◯ デメリット
・在宅でテレワークを行う場合は、その都度端末を持ち帰る必要があるため、急遽テレワークを行う場合には不向き。
・テレワーク端末にデータを保存することが前提となるため、特に端末の取り扱いには注意する必要があり、6種類のパターンの中でも最も厳格な情報セキュリティ対策が必要となる。
自社に合ったテレワーク方式を検討する
テレワークの方式は上述のとおり、大きく分けて6つのパターンに分類できます。自社に合ったテレワーク方式を選択する際は、「セキュリティリスク」と「導入コスト」の両面を考慮して決定する必要があります。
私用端末の利用は認めるべき?
私用端末の利用を認めるかどうかでも、実施すべきセキュリティ対策が変わります。私用端末の利用を認めることでテレワークの導入コストを抑制することはできますが、その一方で管理が不十分になる恐れがあり、セキュリティリスクは上がってしまうからです。
このように私用端末を利用する場合、導入コストが低く抑えられると思われがちですが、実際には私用端末を利用することによって追加のセキュリティ対策を講じることになるため、必ずしも期待するようなコストダウンになるとは限りません。
企業から端末を貸与するほうがトータルではコストを抑制できることも多々ありますので、十分に注意して判断すべきといえます。
クラウドサービス利用時の注意点
最近ではクラウドサービスを利用する企業が非常に増えています。安価かつ早急にシステムを利用できるためです。(早い場合は申込みしたら即日で利用開始できるものもあります)また、自社オフィス内にサーバを設置しなくてもよくなり、「セキュリティリスク」「サーバの管理負荷」という観点からもメリットが多く、クラウドサービスへ移行する企業が増えています。
一方で、「プライベートクラウド」と呼ばれる外部から直接アクセスできないセキュアな環境を除くと、インターネットに繋がっていればどこからでもアクセスが可能であるため、外部からの攻撃を受けやすいことに留意する必要があります。そのため、具体的には「多要素認証(本人確認のための複数の種類の要素をユーザーに要求する認証方式)」「電子証明書の利用」などのセキュリティ対策を強化することが望まれます。
また、クラウドサービス利用者の設定ミスにより、保護すべき情報に対するアクセス制御が講じられていなかった、ということが原因であることも多いのも事実です。個人アカウントでクラウドサービスを利用することでプライベート用のスマホやPCと意図せずに同期されてしまう、安易なパスワードを設定したことでアカウントが乗っ取られてしまう、といったことがないように、十分注意して利用する必要があります。
次回は「経営者」「システム管理者」「テレワーク勤務者」のそれぞれの立場で、どういったセキュリティ対策を行うべきか、という点について解説します。
【解説】総務省のテレワークセキュリティガイドラインから読み解く②『セキュリティ対策内容』
https://eggsystem.co.jp/column/20200525-security/