コラム
★【解説】総務省のテレワークセキュリティガイドラインから読み解く『セキュリティ対策内容』
前回は総務省のテレワークセキュリティガイドラインの前半部分を中心に解説しました。
テレワークにおける情報セキュリティの考え方や、テレワークを行う6つの方式の説明や各方式のメリット・デメリットについて説明しました。
【解説】総務省のテレワークセキュリティガイドラインから読み解く①『テレワークを行う6つの方式』
今回は引き続き、総務省が公表しているテレワークセキュリティガイドラインの内容について、「経営者」「システム管理者」「テレワーク勤務者」のそれぞれの立場で、どういったセキュリティ対策を行うべきか、という点について解説します。
出典:総務省「テレワーク セキュリティガイドライン」
情報セキュリティ対策の大枠
(1)情報セキュリティポリシーの策定及び定期的な見直しや監査の実施
<経営者>
情報セキュリティ対策を行う上で、最も基本となるルールが「情報セキュリティポリシー」です。情報セキュリティポリシーは会社としての方針・行動指針となり、「基本方針」「対策基準」「実施内容」の大きく3つの内容を記載します。テレワークの有無によって内容を変える必要はありませんが、対策基準や実施内容についてはテレワークを考慮したものにする必要があります。
<システム管理者>
システム管理者は、情報セキュリティポリシーに従ってテレワークのセキュリティ維持に関する対策を講じた上で、定期的に実施状況を監査する必要があります。
(2)重要度に応じて情報をレベル分けした上で取り扱い方法を定める
<経営者・システム管理者>
社内で扱う情報に対して「機密情報(個人情報や経営に関する情報など)」「業務情報(社内の打ち合わせ資料など)」「公開情報」など、3つ程度に分類して、テレワークでの利用可否と利用可の場合の取り扱い方法を定めます。
テレワークで機密情報を扱う場合は、リモートデスクトップ方式や仮想デスクトップ方式など、端末にデータが保存されない方式を採用する必要があります。また、情報の重要度と利用者の権限に基づき、アクセス制限を行うことで、情報保護と利用の両立が可能となります。
(3)定期的な教育を実施する
<経営者・システム管理者>
前回のコラム(【解説】総務省のテレワークセキュリティガイドラインから読み解く①『テレワークを行う6つの方式』)で解説したように、セキュリティ対策を行うためには「ルール」「人」「技術」をバランスよく対策する必要があります。テレワーク勤務者がルールを守っているかどうかを確認することは難しいため、ルール遵守のメリットやルールを守らないことで発生するリスクの大きさ等について定期的に説明し理解してもらうようにします。
(4)事故発生に備えた連絡体制を整備する
<経営者・システム管理者・テレワーク勤務者>
万一の情報セキュリティ事故の発生に備えて、迅速な対策がとれるように連絡体制を整備し、常に確認できるようにすることが重要です。早期発見・早期対応することで、情報セキュリティ事故の影響を最小限に抑えることが可能です。
(5)必要な人材・資源に必要な予算を割り当てる
<経営者>
テレワーク環境における情報セキュリティ対策に対して、適切な投資を行うことが必要です。必要な機器・設備・システムの購入だけでなく、その運用・管理を行う人的資源の確保も含みます。
ただし、注意すべき点は「情報セキュリティ対策にも単に多額の投資を行えばよい」というわけではないことです。自社のテレワークにおいて何を実現し、何を守るべきかを明確にした上で、その実現に適した方法を選択し、必要な投資を行うことが重要です。
では、ここからは特に「システム管理者」と「テレワーク勤務者」が行うべき具体的なセキュリティ対策について解説します。
5つの具体的なセキュリティ対策について
マルウェアへの対策
テレワークにおいては、インターネットを利用する場合が今まで以上に多くなるため、特にインターネット経由の感染例が多いウイルス等の脅威に備えることが重要です。具体的な対策を以下に記載しますので、既に対策を始められている企業の方はチェックリストとしてもご覧頂ければと思います。
◯ フィルタリング等を用いて、危険なサイトへのアクセスを制限する
◯ テレワーク端末にアプリケーションをインストールする際は申請し、セキュリティ上の問題がないことを確認した上で認める
◯ 貸与用のテレワーク端末にウイルス対策ソフトをインストールし、最新の定義ファイルが適用されるようにする
◯ 貸与用のテレワーク端末のOS・ブラウザ・ソフトウェアについて、アップデートを行い常に最新の状態に保つ
◯ 私用端末を利用する場合は、その端末に必要な情報セキュリティ対策が施されていることを確認した上で利用する
◯ 私用のスマートフォンやタブレット等に関しては不正な改造を施さない
◯ ウイルス感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存しておく
◯ 金融機関や物流業者からの事務連絡を装うなどの不審なメールは迷惑メールに分類されるように設定する
◯ 不審なメールの添付ファイルの開封やリンク先のクリックに一層の注意を払う
端末の紛失・盗難に対する対策
会社PCの持ち帰り方式を採用されている場合、特に必要となるのが紛失・盗難への対策です。実際に情報セキュリティ事故の事例としても紛失・盗難が多数発生しています。
データのバックアップと端末管理という観点から具体的な対策をご紹介します。
◯データバックアップ
・オフィス外に情報資産を持ち出す場合、その原本となるデータを安全な場所に保存しておく
◯端末管理
・システム管理者は、台帳等を整備し貸与するテレワーク端末の所在や利用者等を管理する
・テレワーク勤務者は、機密性が求められるデータは極力管理しないようにする(やむを得ない場合は、必ず暗号化して保存する)
重要情報の盗聴に対する対策
インターネットにおいては、悪意のある第三者が通信内容を傍受している可能性があるため、無線LAN(Wi-Fi)を利用する際にも特に注意が必要です。機密情報かどうかに関わらず、電子データのやり取りを行う場合は、VPN等、通信経路を暗号化した状態でやりとりできる経路を用いるのが安全です。
無線LAN(Wi-Fi)の利用に関して、詳細は総務省「Wi-Fi 利用者向け簡易マニュアル」をご参照ください。
なお、無線LAN(Wi-Fi)を利用する場合は、以下の点に留意する必要があります。
◯ 無線LANルーターでWPA2による通信経路の暗号化が行われるように設定した上で、外部から推測されにくいパスワードを設定する
◯ テレワーク端末のアップデートを行い、無線LANに関する脆弱性が存在しないようにしておく
またカフェやコワーキングスペース等、第三者と共有する環境でテレワーク作業を行う場合、作業内容の覗き見にも注意する必要があります。端末の画面にプライバシーフィルターを装着したり、作業場所を選ぶ等により、画面の覗き見防止に努めることも重要です。安価なものであれば2〜3,000円程度でプライバシーフィルターを購入可能ですので、ご検討頂くことをオススメします。
不正アクセスに対する対策
テレワーク勤務者から社内システム等へアクセスするための利用者認証について、多要素認証を用いたり、電子証明書を併用したりするなど適正に管理・運用する必要があります。
◯ 社外から社内システムへアクセスするための利用者認証を設定し、テレワーク勤務者は認証情報(パスワード等)を適正に管理する
◯ インターネット経由で社内システムにアクセスする際のアクセス方法を定める
◯ 社内システムとインターネットの境界線にはファイアウォールやルータ等を設置し、アクセス状況を監視するとともに、不要なアクセスを遮断する
◯ アクセス用のパスワードとして、強度の低いもの(※)を用いることができないように設定する
※強度の低いもの:短いもの、単純なもの(例、”1111″、”ABCD”、”password”等)、ユーザIDと同じ文字列やユーザIDに1文字加えただけのもの、辞書に載っている単語をそのまま使う(例、”telework”)
出典:総務省「テレワーク セキュリティガイドライン」 図.17 ファイアウォールの設置
外部サービスの利用に対する対策
最近はクラウドサービスやSNSの利用が増えており、非常に便利になる反面、使い方を間違えるとセキュリティリスクが高くなってしまうため、十分注意して業務利用する必要があります。
<システム管理者>
◯ チャットアプリを含むSNSに関する利用ルールやガイドライン(業務上の守秘義務が課せられている内容を扱わない、法律や倫理に反する発言や事実に基づかない発信を行わない、等)を整備し、その中でテレワーク時の利用上の留意事項を明示する
◯ ファイル共有サービス等のパブリッククラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を禁止する
<テレワーク勤務者>
◯ チャットアプリを含むSNSをテレワークで利用する場合、社内で定められた利用ルールやガイドラインに従って利用する
LINE、Facebook Messenger等のメッセンジャー系SNSを使う場合、送るべき相手を間違えることで、トラブルになる可能性があります。特にテレワークで自宅の私用端末を利用している場合、その端末からメッセージを送る場合、勤務先とプライベートの知人などが混在しやすいので、注意する必要があります。
最後に
総務省が公表する「テレワークセキュリティガイドライン」の内容について、2回のコラムで解説させて頂きました。情報セキュリティ事故は起きてからでは手遅れになってしまいますので、まだ事故が発生していないうちに少しずつでも対策を進めていくことが重要です。
情報セキュリティ対策と言うと、金融機関のようにガチガチの対策をイメージされる経営者の方もいらっしゃいますが、「セキュリティ対策を行うこと」と「利用者の自由度」はトレードオフですので、バランスを考えることが必要です。
情報セキュリティ対策をガチガチにやり過ぎてしまった結果、業務がまわらなくなってしまった、ということが起きてしまっては本末転倒です。そのため、自社に合ったバランスを見ながら、適切に投資をしてセキュリティ対策を進めて頂ければと思います。
セキュリティ対策を推進する上で、他社事例や第三者の客観的な立場でのご支援が必要でしたら、弊社までお気軽にお問い合わせいただければ幸いです。何から相談しようか迷っているという場合でもご相談を承りますので、「ご依頼について」をご覧頂きながら、ご検討頂ければと思います。