新しい働き方として注目を浴びているテレワーク。人々のライフスタイルや働き方の多様化を受けて、テレワーク導入への機運の高まりを感じている方も多いのではないでしょうか。しかし、実際にテレワークを導入しようとするとどうしても気になるのが、社外で機密情報などを扱うことに関するセキュリティ対策の問題です。いったい何から対策すればよいのでしょうか。今回は、テレワークのセキュリティ対策について徹底解説します。

テレワークにおける大きなセキュリティリスク

総務省の「テレワークセキュリティガイドライン」によれば、テレワークとは「情報通信技術(ICT)の利用により時間・空間を有効に活用する多様な就労・作業形態」であり、在宅勤務、モバイル機器による業務、サテライトオフィス(企業の本部から離れた遠隔拠点)での業務の3つの形態のことを意味しています。

テレワークは時間や場所にとらわれない働き方、一人ひとりのライフスタイルを重視した働き方として注目を集めており、社会的にも少子高齢化対策、経済再生、雇用創出、地域振興、防災・環境対策など、さまざまな面で有効なソリューションになることが期待されています。

一方で、時間や場所にとらわれない働き方が可能になるというテレワークの特徴は同時に、従来型のセキュリティマネジメントが通用せず、大きなセキュリティリスクをもたらし得るとも言えます。しかしセキュリティリスクは、適切な対策をおこなえば避けることができるのです。

総務省の「テレワークセキュリティガイドライン」とは

テレワークを導入する上で重要なセキュリティリスク軽減の一つの指針として、総務省は「テレワークセキュリティガイドライン」というものを策定しています。このガイドラインは2004年12月に初版が策定され、最新版は2018年4月に発表された第4版です。(※本記事公開日時点)

「テレワークセキュリティガイドライン」は、セキュリティマネジメントの有識者で構成される「テレワークセキュリティガイドライン検討会」で策定され、昨今のインターネット技術の変化や新たなセキュリティ上の脅威を踏まえ、定期的に改定されています。テレワークのセキュリティ対策を会社で検討する際に、重要な指針とすることができるでしょう。

テレワーク導入にあたってのセキュリティ対策

では、実際にテレワークを導入するにあたり、どのようなセキュリティ対策が必要なのでしょうか。

1.保護すべき情報資産の洗い出し

情報セキュリティ対策を効率的に進めるためには、まず保護すべき情報資産の内容を把握しなければなりません。守る必要がある情報が何なのかが明確でなければ、どのような対策を講ずればよいのかが分からないためです。

情報資産には、会社の財務に関する情報や顧客情報、技術に関する情報などがあります。昨今、顧客情報の流出に関するニュースを耳にすることもあるかと思いますが、情報資産の管理がおろそかになると、会社の経営にダメージを与えてしまう可能性もあるのです。

情報の特性、すなわち情報資産がどのような脅威や脆弱性、リスクを持っているのかを把握しましょう。さらに情報セキュリティ対策を効率的に行うためには、情報資産の重要度をレベル分けし、重要度に応じた対策を実施することが大切です。


また、情報セキュリティ対策においては、「最も弱いところが全体のセキュリティレベルになる」ことを覚えておきましょう。そのため、全体のセキュリティマネジメントを体系的におこなうことが重要であり、会社の情報資産の全体を把握することも大切です。どこかに一つでも弱点があれば、他の部分をいくら強化しても、その弱点がセキュリティレベルの下限を決めてしまい、全体のセキュリティレベルの向上にはつながらないのです。

情報資産を守るためには、まずは会社が持っている情報資産全体を体系的に把握し、全体のセキュリティレベルを落とさないようにすることがポイントです。

2.自社に合ったテレワーク方式の検討

次に、テレワークをおこなう方式を考えましょう。方式によっては、セキュリティ対策に必要な事柄が異なり、自社に合わない方式もあるからです。

「テレワークセキュリティガイドライン」では、以下の6種類のテレワークのパターンが明記されています。

  • リモートデスクトップ方式:オフィスにある端末を遠隔で操作する
  • 仮想デスクトップ方式:テレワーク用の仮想端末を遠隔で操作する
  • クラウド型アプリ方式:クラウド上のアプリケーションを社内外から利用する
  • セキュアブラウザ方式:クラウド型アプリ方式の一種で、特別なブラウザを用いて端末へのデータの保存を制限する
  • アプリケーションラッピング方式:テレワーク端末内への保存を不可とする機能がある
  • 会社PCの持ち帰り方式:オフィスの端末を持ち帰りテレワーク端末として利用する

▼参照:総務省「テレワークセキュリティガイドライン 第4版」別紙3
http://www.soumu.go.jp/main_content/000545372.pdf

上記の方式は、テレワークでおこなう作業の内容や予算などによって決定されるもので、どの方式を選ぶかによってもセキュリティ対策の内容は変わってくるでしょう。

特に、私用端末の利用を許可するかどうかは重要な検討ポイントです。「リモートデスクトップ方式」「仮想デスクトップ方式」「セキュアブラウザ方式」「アプリケーションラッピング方式」では、テレワークを行う端末にデータを保存しないため、比較的情報漏えいのリスクが小さいと言えるでしょう。これらの方式では、私用端末の管理が不十分であってもリスクが小さいため、私用端末を社員に使用させてコストを下げることもできます。

一方で、(セキュアブラウザ方式ではない)「クラウド型アプリ方式」では、私用端末に電子データを保存することが可能で、私用端末の管理が不十分であると大きなセキュリティリスクに晒されます。方式によってどのような管理体制にするかは異なるので、どの方式を採用するかを考える際には、必要となるセキュリティ対策の違いにまで気を配るとよいでしょう。

経営者・システム管理者・利用者それぞれがやるべきこと

情報セキュリティ対策のための基本ルールとして、自社独自の「情報セキュリティポリシー」を定めることをおすすめします。このポリシーによって、経営者・システム管理者・利用者が統一された情報セキュリティ対策をおこなうことが可能になります。

特にテレワークを導入する場合には、経営者はテレワークの実施を考慮した情報セキュリティポリシーを策定するとより効果的です。策定後も対策が十分かどうか、定期的に見直し、必要に応じて改定する必要があるでしょう。
システム管理者は、情報セキュリティポリシーの実行役として、情報セキュリティポリシーに則って、テレワークのセキュリティリスクを抑えるための具体的な技術的対策を講じ、必要であれば経営者に技術的な観点からアドバイスすることが望ましいです。
さらに、利用者が情報セキュリティポリシーの基準に従って日々業務をおこなうことで、組織全体でセキュリティを高めることができるでしょう。

テレワークのセキュリティ対策の失敗例

総務省の「テレワークセキュリティガイドライン」には、テレワークのセキュリティ対策に失敗した具体例も記載されています。

例えば、テレワーク端末を通して社内ネットワークがランサムウェアに感染し、重要情報が閲覧できなくなり、攻撃者から多額の金銭の要求を受けたという事例があげられています。その対策として、書き換え不可能なメディアにデータを保存するようにし、感染の可能性のある PC のあらゆるユーザーは、書き換えや削除が不可能な状態に設定されたサーバー上の領域で情報を保管するなどの措置が推奨されています。

この他にも、外出先で情報を盗み見されたり、ウェブサイトからウイルスに感染したりした事例も紹介されているので、参考になるでしょう。

まとめ

テレワークはメリットも大きい一方で、セキュリティリスクも大きいことを自覚し、テレワークの方式に合わせた適切なセキュリティ対策を取るようにしましょう。また、経営者、システム管理者、利用者が協働してセキュリティを担保していくためにも、自社独自の「情報セキュリティポリシー」を策定することが望ましいでしょう。

気になる製品は無料でまとめて資料請求もできます。

おすすめ記事もチェック!