2020.05.12
新型コロナウイルスの流行を機に、テレワークの導入が推奨されています。担当者は、セキュリティ対策や社内ルールの整備に忙しさを感じているのではないでしょうか。
オフィスで仕事をするときは、そこまで意識していなかった情報セキュリティの問題。しかしテレワークになると、誰にどの情報を渡して良いのか判断したり、従業員が自身で情報の管理をする必要があったりと、これまでと比較してセキュリティ面に気を使わなければなりません。
今回は、テレワークを検討する企業の担当者や従業員、テレワーク時の情報セキュリティについて興味を持っている方に向けて、総務省が発行している「テレワークセキュリティガイドライン(第4版)」のポイントをわかりやすく解説していきます。
そもそも「テレワークセキュリティガイドライン」とは何かご存知でしょうか?
テレワークセキュリティガイドラインは、総務省が策定したガイドラインのことです。テレワークの導入を検討している企業において、情報セキュリティ対策を検討する補助資料として活用してもらうことを目的としています。
このガイドラインは全61ページとなっており、経営者や社内システムの管理者、テレワークで働く従業員に向けて、それぞれの立場でテレワークにおいて実施すべき、セキュリティ対策のポイントや基本的な考え方を解説しています。
最新版は2018年4月13日に公表された「テレワークセキュリティガイドライン(第4版)」。下記の通り、テレワークにおけるセキュリティ対策に関する情報が「3つの章」に分けて紹介されています。
1.テレワークにおける情報セキュリティ対策の基本的な考え方
2.テレワークセキュリティ対策のポイント(経営者、システム管理者および勤務者の立場ごと)
3.テレワークセキュリティ対策の解説
今回は、具体的な対策内容が記されている第3章「テレワークセキュリティ対策の解説」から、特に留意しておきたい6つのポイントを解説していきます。
これからテレワークの導入を検討している企業はもちろん、すでにテレワークを実施している企業にも参考になる内容ですので、ぜひチェックしてみてください。
セキュリティガイドラインの内容によれば、システム管理者の努力だけでは、完全なセキュリティ対策を施すのは不可能であり、企業の経営者や従業員を含め、全社的に対応することで意味を為す取り組みだと記載されています。
ここでは、セキュリティガイドラインの「テレワークセキュリティ対策の解説」の内容に沿って解説していきます。
最初の項目では、「経営者」「システム管理者」「従業員」それぞれがすべきことを解説しています。
ここではセキュリティガイドラインに記載されていた内容を、それぞれの立場でまとめました。
①経営者
テレワークの実施を踏まえ、情報セキュリティポリシーを定める。内容については定期的に見直しを行い、従業員にも定期的にセキュリティ対策の重要性を啓蒙させる。
②システム管理者
システム全体を管理する、非常に重要な立場であることを自覚し、従業員への啓蒙も定期的に実施する。経営者がルールを決める際に必要な情報を提供する。
情報セキュリティポリシーに従って、技術的対策を講じる・定期的に実施状況を監査する。
③従業員
テレワーク作業中は、扱っている情報の管理責任を負っていることを自覚する。全社で定めた情報セキュリティポリシーに従い、定められた対策基準に沿った業務を行う。
定期的に実施状況を振り返るようにする。
本記事では簡略的に記載していますが、他にも三者がそれぞれすべきこと・意識したいポイントが細かく記されているので、ぜひチェックしてみてください。
ここでは、システム管理者と従業員に向けてマルウェア対策のポイントが記されています。
マルウェアとは、不正かつ有害な動作を行う意図で作成された「悪意のある」ソフトウェアや「悪質な」コードのことを指します。ウイルス、ワーム、トロイの木馬などいくつか種類があり、マルウェアに感染すると、IDやパスワードなどの重要な情報の外部流出、ファイルの改ざんや削除、クレジットカードや銀行口座に関する情報の盗難など、様々な被害にあうリスクがあります。
セキュリティガイドラインによれば、システム管理者は特に以下の2点を意識的に実施する必要があります。
・テレワークで利用するパソコン等へのウイルス対策ソフトの導入
・OSやソフトウェアのアップデート
OSやソフトウェアのアップデートも実施するようにしましょう。最新版にアップデートしておくことで、セキュリティを高めることができます。
また、セキュリティ対策は専門的な知識が必要で、いち社員が自力で行うのはやや困難なので、システム管理者の権限で一斉に行うようにすると良いとされています。
なお、従業員はマルウェア対策として以下の3つに注意しておく必要があります。
・OSやブラウザのアップデートがされていない状態で社外のウェブサイトにアクセスしない
・ウイルス対策ソフトやOS、ソフトウェアが最新版かどうか確認する
・メールの送付や開封、リンク先のクリックに注意を払う
このように、社外のウェブサイトへのアクセスは必要最小限にとどめましょう。また、パソコンを使う前にはOSやブラウザのアップデートが済んでいるか、ウイルス対策ソフトが最新になっているかを確認しましょう。
テレワークでもっとも注意すべきは、マルウェアによる攻撃やフィッシング等の被害とも記載されています。オフィスにいるときと違って「このメールは開いても大丈夫ですか?」と相談できる人がいないので、ついついフィッシングメールを開いてしまいがちです。少しでも「怪しいな」と思ったら、メールを開かずに隔離しておくようにしましょう。ウェブサイトのリンクをクリックするときも同様です。
ここで紹介した他にも、セキュリティガイドラインには様々な注意事項や被害事例が記載されていますので、チェックすることをおすすめします。
ここでは、主に従業員に対しての対策ポイントが記載されています。
テレワークでは、会社からパソコンや外付けハードディスク、USBや社用携帯などの端末を持ち出し、仕事を行います。そのため、端末の紛失や盗難のリスクに備えておく必要があります。
まず、システム管理者は、「誰が何を使っているか」を把握します。貸し出した端末等を記録するための台帳等を用意し、適切に管理します。
また、テレワークを行う従業員は、以下の3つのことに注意する必要があると記載されています。
・オフィスの外に情報を持ち出すときは、元データ(原本)を安全な場所に保存しておく
・機密情報などのデータは極力使わない
・どうしても使う場合は「暗号化」し、USBなどの盗難には十分に気をつける
ウイルス感染によるデータの改ざん、削除に対する防御として有効なのは、元データを複製して「バックアップ」を確実に取っておくことです。情報漏洩リスクとしては、コピーデータも元データも違いはありませんが、元データさえ安全に保管されていれば、データを復旧することができます。
またテレワークの場合は、自宅だけでなく、カフェやサテライトオフィスなど「第三者がいる場所」で仕事をすることがあります。そうした場合の「盗難」や「盗み見」のリスクに備えて、
・機密情報を扱う作業が必要なときは、周りに人がいないことを確認する
・電子データは暗号化して管理する
・端末には、パスワードや指紋認証、自動ロックの設定を行う
など、それぞれで対策を行う必要があります。
セキュリティガイドラインの4つ目には、盗聴対策のポイントがまとめられています。
自宅以外の場所で作業をしていて、公衆の無線LANを使う際は注意が必要です。
システム管理者は、パソコンなどの端末の「無線LAN」の脆弱性対策が適切に行なわれるようにする必要があります。例えば、従業員への呼びかけはもちろん、機密情報を暗号化しておく、VPN(仮装のプライベートネットワーク)の利用推奨などを行いましょう。
従業員も同様に「機密情報を送信する際には必ず暗号化する」「無線LANを使う際のリスクを把握し、対策が可能な範囲で利用する」といったように、自宅で仕事をするときよりも、高いセキュリティ意識をもって作業を行う必要があります。
そのほか、具体的な対策としては「ウェブサービスの利用は「https」で始まるURLに限定する」「信頼できるアプリを利用する」「万が一流出しても問題がない情報のみ扱う」などができるでしょう。
ここでは、不正アクセスへの対策方法が記載されています。
不正アクセスを防止するための対策としてシステム管理者は、
・社外から社内システムへアクセスするための利用認証を適正に管理する
・社内システムとインターネットの間にファイアーウォール等を設置し、不要なアクセスを遮断する
・強度の低いパスワードを利用できないようにする
といった対策を行う必要があります。
利用者認証においては「二段階認証」や「電子証明書」を用いて、適正に管理・運用していく必要があります。
テレワークに限ったことではありませんが、パスワードの管理には注意が必要です。万が一パスワードが流出し、第三者が社内の人になりすまして重要情報にアクセスできてしまうと、多くの機密情報や顧客情報が流出する恐れがあります。そのため、なるべく強力なパスワードを利用するような仕組みを整えておきましょう。
また、セキュリティガイドラインには、無線LANの情報セキュリティの具体的施策についても解説されています。正しい使い方を知りたい、という方はチェックしていただくのがおすすめです。
具体的な対策方法の最後には、システム管理者と従業員に向けたSNSを扱う際の注意点が記載されています。
テレワークにおいては、SNSやクラウドサービスなど「外部サービスの利用」にも注意が必要です。
例えば、業務とプライベートを切り分けずにSNSを利用していると「業務用のグループと公開グループを間違えて投稿してしまった」ということも起こり得ます。
セキュリティガイドラインでは、外部サービスの利用に対して、システム管理者は「SNS向けの利用ルールやガイドラインの整備」「クラウドサービスの利用ルールや禁止事項の設定」などを行う必要があるとしています。
外部サービスの利用(SNSやクラウドサービス)に関して管理者ができることは、ルールやガイドラインの整備と呼びかけぐらいですが、本来送るべきでない相手に情報が届くことのリスクを考えれば必要な対策です。従業員にしっかり周知するようにしましょう。
また、従業員は、これらの外部サービスは、社内で決められたルールやガイドラインで認められた範囲で利用するようにします。SNSに関しては、「勤務先とプライベートでの使用を混同しないこと」これを守ることが重要です。
その他、機密情報の保存や送信などには、クラウドサービスを使うのを避けるようにすることが重要だと記載されています。なぜなら、クラウドサービスはインターネットと直結していることが前提で、外部からの攻撃対象になりやすいからです。もし、テレワークで利用する際には、これらの点に十分留意しておく必要があります。
今回は、テレワークを検討している企業の担当者や従業員の方に向けて、テレワークセキュリティガイドラインに記載されている具体的な対策方法のポイントご紹介しました。
情報セキュリティへの対策は、経営者、システム管理者、従業員がそれぞれの立場で適切な対応を行っていくことが重要です。ぜひ今回ご紹介した対策方法を安全にテレワークが行える環境づくりの参考にしてみてください。
【資料】テレワークは働き方改革のリトマス試験紙
HP Elite Dragonfly
重量999グラム、薄さ16.1mm、削り出しのマグネシウムボディの軽量ビジネスPC。多彩なセキュリティ機能に加え、覗き見を防止する内臓型プライバシースクリーン、物理シャッターを備えたカメラ、コラボレーションを促進する全方位をカバーのマイクなど、ビジネスに必要なすべてをエレガントなボディーに備えました。
HP Elite Dragonflyの詳細を見る |
HP EliteBook x360シリーズ
最上位のフラッグシップシリーズです。360°回転するディスプレイにより、タブレットとクラムシェルの両方の形状で使用できるコンバーチブルPCは、あらゆるシーンに合わせて、さまざまなモードで使用可能。生産性を最大限に発揮し、作業効率を向上させます。14インチの「HP EliteBook x360 1040 G5」と13.3インチの「HP EliteBook x360 1030 G3」は、外出先や移動中も安定した通信環境を実現する、4G LTE-Advanced対応モデルも選択可能です。
HP EliteBook x360シリーズの詳細を見る |