テレワークセキュリティガイドラインをわかりやすく!企業・個人の対策を解説|トラムシステム
働き方改革やコロナウイルスの影響により、テレワークを行う企業が急速に増えました。同時に、悪意のあるソフトウェアへの感染からのセキュリティ事故も増えており、企業の課題となっています。こうした中、企業がテレワークのためのセキュリティ体制を作るための参考に、総務省の「テレワークセキュリティガイドライン」が利用されています。
本記事では「テレワークセキュリティガイドライン」の詳細や、リモートワーク時代に企業や個人が気をつけるべきことについて解説します。
目次
知っておきたいテレワークのセキュリティリスク
テレワークやリモートワークには、これまでのオフィスワークになかったセキュリティリスクが存在します。具体的には、次の3つです。
情報漏洩リスク
情報漏洩リスクとは、個人情報や機密情報などの企業が守るべき重要なデータが外部に漏れることを言います。データを保存したファイルや媒体、紙の書類などの不正な閲覧や持ち出しなどです。
テレワークでは、セキュリティが脆弱な家庭内ネットワークの使用により通信を傍受され、情報が漏れるリスクが高まります。不特定多数の人が利用する公衆Wi-Fiを使う場合も同様です。公衆Wi-Fiの中には通信の暗号化が行われていない場合もあり注意が必要です。
マルウェア感染リスク
マルウェア感染リスクとは、マルウェア(=悪意あるソフトウェア)によって、情報流出やデータ改ざんが引き起こされることを言います。テレワークのためにセキュリティ対策が不十分な個人のパソコンを利用する場合はリスクも高まります。
紛失・盗難リスク
紛失・盗難リスクとは、テレワークのためオフィス外に持ち出したパソコンを電車内に置き忘れたり、カフェなどで離席した際に盗まれたりするような場合です。また、手軽に利用できるUSBメモリの紛失や盗難も多く起こっています。
総務省のテレワークセキュリティガイドラインとは
さまざまなセキュリティリスクは、顧客や社会からの信頼喪失や金銭的損失など重大な被害につながりかねません。企業や個人がセキュリティ対策の参考にできるように作られたのが総務省の「テレワークセキュリティガイドライン」です。
テレワークガイドラインに沿ってセキュリティ状態をチェック、改善することで、テレワークにおけるセキュリティ上の不安を解消し、企業や個人が安心してテレワークを導入・活用できるようになっています。
ガイドラインで解説されていること
テレワークセキュリティガイドラインでは、次のような内容を解説しています。
・ガイドラインの策定に至った背景
・テレワークの形態
・テレワークを行う際に検討すべきこと
・テレワークの方式
・テレワークセキュリティ対策
・テレワークにおけるトラブル事例と対策
ガイドラインは個人、企業の広い範囲で参考にできるように作られているため、記載されている内容は広い範囲に及んでいます。すべてを理解するのが難しい場合も、それぞれの立場に応じて必要な範囲だけはしっかりと把握するようにしましょう。
ここからは、ガイドラインを参考に、立場ごとに行うべきセキュリティ対策について解説します。
テレワークのセキュリティ対策【ガバナンス・リスク管理】
ガバナンス・リスク管理とは、何をリスクとして評価するのかを定め、社内に情報セキュリティ体制を構築することです。
ガイドラインに従って情報セキュリティ体制を整備し、リスク管理を適切に行うことにより、問題の発見や対応を素早く行えるようになります。
経営者
セキュリティポリシー(基本指針)の策定や、システム・セキュリティ管理者への指針見直しの指示、テレワーク勤務者への指針の周知を行います。
また、セキュリティ対策実施に必要な組織編成や、予算の確保も必要です。
経営者は、企業における情報セキュリティの旗振り役としてリーダーシップを発揮し、全体のセキュリティへの意識を高めるために働きかけましょう。
システム・セキュリティ管理者
情報セキュリティ関連規定の対策基準や実施内容を定めて、テレワーク勤務者に周知し、定期的な改善に努めます。また、テレワークでクラウドサービスを利用する際には、情報漏洩を防ぐための利用ルールの整備も行います。
情報セキュリティに関するリスクの検討やルールの策定には専門的な知識も必要です。経営者と共に社内の体制を整えるために取り組むことが大切です。
テレワーク勤務者
情報セキュリティ関連規定に沿って業務を行います。クラウドサービスを利用する場合はルールを守って行うことが大切です。
特に確認や報告が適切に行われない場合は企業の大きなリスクになります。情報セキュリティの重要性や果たすべき役割をしっかり理解して業務に取り組みましょう。
テレワークのセキュリティ対策【資産・構成管理/脆弱性管理】
資産・構成管理や脆弱性管理とは、社内で利用するハードウェア、ソフトウェアなどの資産を特定し、利用やアップデートの状況を適切に管理することです。
テレワークの場合、これらの管理がオフィスと比べて難しくなるため、それぞれの立場で協力しあい、社内のセキュリティレベルを保つことが大切です。
システム・セキュリティ管理者
テレワークに使う端末の管理台帳を整備し、管理対象となる端末の利用状況(シリアルナンバー、OS種別・バージョン情報、利用者、所在地など)を管理・把握します。
資産管理ツールを活用し、資産の状況を把握したりパッチの適用状況を最新の状態に保ったりするようにしましょう。
業務上利用可能なハードウェアやソフトウェア、クラウドサービス、アプリケーションなどを定め、利用ルールとともにテレワーク勤務者へ周知することも大切です。
許可されていないデバイスの使用やアプリケーションのインストールが行われないよう、しっかりと管理しましょう。
テレワーク勤務者
情報セキュリティに関連する社内ルールに従ったITツールの使用を徹底します。また、テレワークの場合は端末の盗難・紛失防止に注意が必要です。
テレワーク端末で使うアプリケーションは、ルールで許可されたもの、または申請し許可を受けたもののみ、定められた場所からインストールして使うようにしましょう。
テレワークのセキュリティ対策【データ保護】
データ保護では、保護するべき情報の特定や、保存されているデータの機密性や可用性の確保についての対策を行います。ガイドラインでは次の内容について示されています。
経営者
業務で取扱う情報について、取扱いに関する重要度の方針を定めます。その際、情報の有効活用による事業上のメリットと、情報漏洩が起こった場合に事業へ与える影響の両方の視点から、総合的に考えることが必要です。
システム・セキュリティ管理者
情報取扱いに関する重要度の方針に従って具体的な情報管理レベルを定め、取扱い方法を整理してテレワーク勤務者へ周知します。情報にアクセス可能なテレワーク勤務者やテレワーク端末は必要最小限としましょう。
また、機密情報の保存場所の把握や重要情報のバックアップ、端末やリムーバブルメディア(USBメモリ、CD、DVDなど)の取扱い、紛失・盗難への備えについての対応も重要です。
テレワーク勤務者
テレワークでの情報の取扱いは、利用者・保管場所・利用可能なシステム環境の要件など定められたルールに従います。リムーバブルメディアは許可された場合のみ利用し、テレワーク端末に直接データ保存する場合には暗号化を実施しましょう。
テレワークのセキュリティ対策【マルウェア対策】
マルウェア対策とは、マルウェアの感染防止、検出、エンドポイントセキュリティ対策などです。エンドポイントセキュリティとは、パソコンやスマートフォンなどの端末におけるセキュリティ対策です。
システム・セキュリティ管理者
テレワーク端末にセキュリティソフト(ウイルス対策ソフト)をインストールし、定義ファイルの自動更新やリアルタイムスキャンを稼働させます。
近年はWebを利用した攻撃も多いため、フィルタリング機能やフィッシング対策機能も利用し、危険なファイルのダウンロード、危険サイトへのアクセスなどを制限できるようにしましょう。
マルウェア(不正プログラム)は随時新しいものが生まれており、既存の定義ファイルだけでは対応が難しくなっています。EDRソリューションはシステムやネットワーク内の不審な動きからマルウェアを検出できるため、未知のマルウェアにも効果的です。
テレワーク勤務者
不審に思ったメール(添付ファイルやURLリンクも含む)は開かず、必要に応じてメールの送信者に確認をとり、システム・セキュリティ管理者へ速やかに報告しましょう。
ニュースなどで情報漏洩やセキュリティに関する情報があればチェックし、自分事として考える機会にしましょう。もし少しでも不審に感じたら、迷わず報告して指示を仰ぐように心がけてください。
テレワークのセキュリティ対策【アカウント・認証管理】
アカウント・認証管理とは、情報システムにアクセスするためのアカウントや認証方法について定め、適切に運用することです。
特にテレワークでは社内システムへのアクセスやクラウドサービスへのアクセスの必要性が高く、アカウント・認証管理が不十分な場合は大きなセキュリティリスクになります。次のような対策を徹底して行いましょう。
システム・セキュリティ管理者
テレワークで社内システムやクラウドサービスへアクセスする際に必要な、利用者認証機能の基準(パスワードポリシーの規定など)を明確に定めます。また、アカウントやロールごとの権限をしっかり管理しましょう。
利用者の認証では、多要素認証を使うと不正アクセスの防止に有効です。利用者認証に一定回数失敗した場合、端末の一時ロックやデータ消去を行うように設定しておくと、ブルートフォース攻撃(総当たり攻撃)への防御に効果を期待できます。
人事異動や退社などがあった場合に、不要なアカウントやアクセス権限が残ってしまう場合があります。これらはセキュリティリスクになってしまうため、定期的なチェックを行って不要なアカウントや権限を削除できるよう業務ルーチンに組み込んでおくとよいでしょう。
テレワーク勤務者
テレワークで必要な認証情報(パスワードやICカードなど)を適正に管理し、無断で貸与したり紛失したりしないよう気をつけます。
パスワードは第三者に推測されにくい複数単語を組み合わせた文字数が多いもの(パスフレーズ)を使い、第三者に知られた可能性がある場合は早急にパスワード変更しましょう。
まとめ
テレワークには、情報漏洩、マルウェア感染、紛失・盗難といったセキュリティリスクがついて回ります。セキュリティ事故は企業の信頼の失墜を招き、事業にも影響する場合も少なくないため、テレワークセキュリティガイドラインを参考に、対策をしっかり行いましょう。
WRITER
トラムシステム(株)メディア編集担当 鈴木康人
広告代理店にて、雑誌の編集、広告の営業、TV番組の制作、イベントの企画/運営と多岐に携わり、2017年よりトラムシステムに加わる。現在は、通信/音声は一からとなるが、だからこそ「よくわからない」の気持ちを理解して記事執筆を行う。
UNIVOICEが東京MXの「ええじゃないか」という番組に取り上げられました。
