オフィスへの通勤を必要としない働き方として、テレワークが注目を集めています。テレワーク導入にはさまざまなメリットがある一方、情報漏えいなどセキュリティリスクは上昇します。本記事では、セキュリティ対策に関する考え方を学ぶため、総務省の掲げる「テレワークセキュリティガイドライン」を解説します。
働き方改革を推進する「テレワーク」とは
テレワークとは「情報通信技術(ICT)を活用した、場所や時間にとらわれない柔軟な働き方」のことです。一般には、オフィスで行っていた業務を、テレワーク端末(PC・スマートフォン・タブレット)を用いてオフィス以外の場所で行います。通勤時の満員電車解消や、感染症の流行や災害などでオフィスへの通勤が困難な際に有効だとして、昨今取り入れる企業が増えています。
テレワークを導入するうえでの大きなメリットは、通勤時間の削減によるコストカットと時間の有効利用です。また在宅勤務が可能なことで、育児や介護中、あるいは遠方の人材も活用でき、遠隔地との共同作業が容易になります。防災・環境対策にもつながるなど、テレワークは大きな効果の見込まれる制度です。
テレワークの種類
テレワークは働く場所によって、以下の3つに分けられます。
①自宅利用型テレワーク(在宅勤務):自宅からPCなどを用いて業務を行う働き方。
➁モバイルワーク」:顧客先や移動中にスマートフォンなどを用いて業務を行う働き方
③施設利用型テレワーク(サテライトオフィス勤務):勤務先以外のオフィススペースで業務を行う働き方。
総務省「テレワークセキュリティガイドライン」を5分で解説〜セキュリティ対策の考え方〜
テレワークを効率的に実施するためも、万全のセキュリティ対策を行わなければなりません。総務省の掲げる「テレワークセキュリティガイドライン」では、テレワークにおけるセキュリティ対策の考え方が提示されています。「ルール、人、技術」の3つのポイントから、以下のことを行います。
① 社内セキュリティの制定
情報資産のセキュリティ確保と従業員が安心して働ける環境作りのため、社内セキュリティガイドラインを制定する。
➁ ルールの周知徹底
従業員のセキュリティに対する意識を高め、ルールの理解を徹底するために、従業員に対してルールに対する教育を実施する。
③ セキュリティ技術の導入
マルウェアや不正アクセスを回避するため、ウイルス対策ソフトや情報の暗号化などの技術的対策を講じる。
テレワークセキュリティ対策におけるそれぞれの立場と具体的な施策
同ガイドラインでは、経営者、システム管理者、テレワーク勤務者のたちがから何をすべきか示しています。
経営者
【考え方】
テレワーク実施を決定し、セキュリティ対策のルールを作る立場です。テレワークを通じた業務で生じうる損失を理解し、その防止のための枠組み・ルールを構築します。また実施すべきセキュリティ対策を定めたうえで、その導入・運用に必要な人材・費用の確保が求められます。
【具体的施策】
情報セキュリティ保全対策の大枠となる、「情報セキュリティポリシー」を定め定期的に監査・修正します。情報セキュリティポリシーとは、「情報セキュリティに関する方針や行動指針」をまとめた文書です。全体の根幹となる「基本方針」、基本方針に基づき定める「対策基準」、対策基準を満たすために具体的に実施する「実施内容」から構成されています。内容は、企業の理念や経営戦略、企業規模、保有する情報資産、業種・業態により異なるので、自社の企業活動に見合った情報セキュリティポリシーを定めましょう。
システム管理者
【考え方】
テレワークにおける外部端末から社内システムにアクセスできる環境は、マルウェア感染などのリスクが伴います。システム管理者はこの脆弱性を理解したうえで、十分な対策を講じることが求められます。
【具体的施策】
テレワークでは、社内情報を外部に持ち出します。そのため情報資産を「機密情報」「業務情報」「公開情報」などに分類し、持ち出しの可否を決めます。とくに機密情報はデータの暗号化・アクセス制御を行うなど、これまで以上に徹底した管理が必要です。
これらに追加して、システム管理者はマルウェア対策・不正アクセス対策を講じます。対策ソフトを導入するだけでなく、社外Webサイトへのアクセスを制限したり、万一のセキュリティ事故の際の対応策も確認します。
テレワーク勤務者
【考え方】
社内情報の取り扱いやWebサイト・メールの閲覧など、最も気を付けるべき立場にいます。テレワーク作業中は自身に情報の管理責任があることを認識し、会社の定めたルールを順守しましょう。
【具体的施策】
テレワーク勤務者はこれらのルールを守り、対策基準に沿った業務を行います。また第三者と共有する環境でテレワーク業務を行う場合、テレワーク端末から目を離さない、画面ロックを徹底。端末の紛失・盗難対策や重要情報の覗き見・盗聴対策を心掛けます。
また、外部サービスの利用についてもルール作りが必要です。たとえばFacebookやInstagramといったSNS利用については守秘義務を課せられている内容のやり取りをしない、法律や倫理に反する発言はしない、といった基本ルールを制定ます。パブリッククラウドサービスの利用については、ファイルの暗号化の徹底や、あらかじめ利用できるサービスを決めておくなどの対策を行います。
まとめ
テレワークの導入はコスト削減などが見込める一方、セキュリティリスクの増加が懸念されます。セキュリティ対策は、経営者・システム管理者・テレワーク勤務者それぞれの立場から考えるべき課題です。セキュリティソフトを導入して脅威に備え、ルールやガイドラインを制定・順守することが基本的な対策です。
