社内におけるテレワークの導入や推進に不安があるなら、総務省のテレワークセキュリティガイドラインを活用しましょう。テレワークで発生し得るリスクや具体的な対策の考え方、ポジション別に取り組むべきポイントが分かります。
テレワークの基本とセキュリティリスク
テレワークの概要と、想定される主なセキュリティリスクについて解説します。企業にとってメリットが多い一方で、さまざまな危険性が潜むことを押さえておきましょう。
テレワークとはどのような働き方?
テレワークとは、コミュニケーションを目的とした情報通信技術(ICT)を活用する働き方です。時間や場所を有効に使えるため、柔軟な働き方の実現を期待できます。
自宅を就業場所とする在宅勤務や、サテライトオフィスなどで働く施設利用型勤務、場所や時間を限定しないモバイルワークが、雇用型テレワークの主な形態です。
テレワーク導入による企業のメリットとしては、通勤手当やオフィスコストの削減、有能・多様な人材の確保と流出防止、営業効率・顧客満足度の向上などが挙げられます。
企業だけでなく、感染病拡大防止や公共機関や交通の混雑緩和など、社会や就業者にも多くのメリットと効果を期待できることから、総務省ではテレワークの普及・促進に向けたさまざまな取り組みが実施されています。
テレワークに潜む主なセキュリティリスク
社外環境から安全ではないインターネット回線を利用したり、会社貸与以外の機器を使用することが多いテレワークでは、『マルウェア』と呼ばれる不正ソフトウェアにより、PCやサーバーがさまざまな不具合を起こすリスクが増えると言われています。
機器や認証情報の管理の甘さから不正アクセスによるトラブルが発生することも、テレワークに潜むリスクの一つです。データを外部に持ち出されたり、社内システムが破壊されたりする危険性があります。
私物の端末を不正アクセスの入り口として利用されると、情報漏えいの原因にもなりかねません。公衆無線LANを通して、第三者から通信内容を盗聴される恐れもあります。
社内の端末を持ち出す場合は、紛失・盗難への対策も必要です。PC端末を盗難されると、ハードディスク内のデータを悪用されるリスクがあります。
総務省『テレワークセキュリティガイドライン』を活用しよう
上記のようなリスクを並べると、テレワークを導入するにあたり、セキュリティ面で大きな不安を感じる総務担当者やシステム管理者も多いでしょう。
メリットも大きいテレワークを安全に導入するために、総務省の『テレワークセキュリティガイドライン』は、テレワークセキュリティ対策の34か条を解説しており、リスクを減らしセキュリティに対する不安の解消に大きく貢献します。
政府のガイドライン策定・公表の目的は?
さまざまな観点から企業価値を向上させる取り組みとして、世の中での認知度と必要性が高まっていることから、近年テレワークの導入を検討する企業が増えています。
しかし、これまでテレワークの経験がない企業では、運用基準が定められていないケースが多く、特にセキュリティ面での不安を抱えている企業は、導入を躊躇しがちなのが実情です。
このような状況を踏まえ、テレワークの導入にあたり最低限のシステムを確保し安全に運用てもらうために、総務省によりガイドラインが策定・公表されています。
ガイドラインの基本的な考え方
テレワークのセキュリティ対策を行うにあたっては、保護すべき情報資産を確認し、起こり得るリスクを把握した上で、全社的な仕組みを構築することが重要です。
組織としての『ルール』、経営者・システム管理者・勤務者などの『人』、脅威を検知・防御する『技術』の対策がバランスよく保たれることで、高いセキュリティレベルを維持できます。
また、テレワークの方法に応じた対策も考えておかなければなりません。「端末に電子データを保存するか」「インターネット経由で社内システムにアクセスするか」「端末を社外に持ち出すか」など、それぞれのパターンに応じた個別の対策が必要です。
ガイドラインでは、企業の中で上記のような役割分担と取り組みを定義した上で、以下の大きく分けて5つのカテゴリで誰の立場でどう対策すべきかがわかりやすく解説されています。
・情報セキュリティ保全対策
・悪意のソフトウェアに対する対策
・端末の紛失・盗難に対する対策
・重要情報の盗聴に対する対策
・不正侵入・踏み台に対する対策
ポジション別に取り組むべきポイント
テレワークの実施においては、ポジション別にセキュリティ保全への認識を深めておく必要があります。経営者・情報システム部門担当者・テレワーク勤務者それぞれの立場で、取り組むべきポイントを紹介します。
運用ルール作りを積極推進『経営者』
テレワーク業務を進めるにあたり、トラブルに関する問題をその都度判断するのは非効率的です。問題の解決には、高度な専門性も求められます。
安全を確保するための仕組みを定めておけば、勤務者がルールを理解し実践するだけでよく、円滑に業務が進むでしょう。
経営者は、社内において運用ルール作りを積極的に推進しなければなりません。大局的な立場からシステムに関わり、経営者にしかできないことでサポートする必要もあります。
運用と管理に携わる『情報システム部門担当者』
システム全体の運用と管理に携わる重要な立場です。セキュリティ維持に関する技術的な対策を施し、実施状況の定期的な監査を求められます。
ウィルス対策はもちろん、マルウェアや不正侵入からシステムを保護したり、安全なネットワークの確保や端末の盗難・紛失に関する対策を講じたりと、情報システム部門担当者に与えられる役割はさまざまです。
トラブル発生に備えた連絡体制の確立やインシデント発生時の対応とバックアップやパスワード初期化等のリカバリー手段、社内での定期的な教育・啓発活動の実施も、意識しておく必要があります。
ルールを理解し実践する『テレワーク勤務者』
情報資産の管理責任を負う立場であるテレワーク勤務者は、情報セキュリティポリシーが定める基準に沿って業務を行い、実施状況を定期的に自己点検しなければなりません。
社内で実施される教育・啓発活動には積極的に取り組み、危機管理に関する意識を高めることにも務める必要があるでしょう。
何らかの問題が発生した場合に備え、定められた担当者にすぐに連絡できるよう、連絡体制を確認しておくことも重要です。
まとめ
テレワークの導入に不安や迷いがあるなら、情報セキュリティ対策について不慣れな担当者でも内容が分かりやすい、総務省のガイドラインを活用しましょう。
本記事では社内の立場での取り組みポイントを解説しましたが、ガイドラインや付属の用語集で知識を深めることで、危機管理に関するさまざまな施策や、ポジション別に意識すべきポイントが理解できるため、強固なシステム作りに役立てられます。