新たな働き方として数多くの企業で導入が進むテレワーク。従業員の柔軟な働き方を実現できる一方で、社外でさまざまな情報を取り扱うことになり、それらのセキュリティリスクへの対策を講じる必要があります。本記事では、総務省が掲げる「テレワークセキュリティガイドライン(第4版)」に基づいた対策方法について解説します。
テレワークにおける情報セキュリティ対策の考え方
総務省は2018年(平成30年)4月に「テレワークセキュリティガイドライン(第4版)」を公表し、テレワークにおける具体的なセキュリティ対策の必要性や指針について示しました。ここではその中でも、具体的なセキュリティ対策を構築するための、情報セキュリティの考え方について整理していきます。
「ルール」「人」「技術」のバランスがとれた対策の実施
効率的なセキュリティ対策には「ルール・人・技術」のバランスがとれていることが重要です。どれかひとつだけを強化しても、全体のセキュリティレベル向上にはつながりません。それぞれの捉え方について簡単に解説します。
ルール
情報セキュリティについては「こう仕事をすれば安全が確保できる」というやり方をきちんと決めなければなりません。テレワークはオフィスとは異なる環境で仕事することになるため、導入する場合は組織として新たなルールを定めておく必要があります。
人
セキュリティ対策で一番実施が難しいのが、「人」の部分です。新たに定めたルールを確実に浸透させるためにも、教育や自己啓発を通じて趣旨の理解やルールを遵守する自覚を、持ってもらうことが重要です。そうすることで、バランスのよいセキュリティ対策が実現できます。
技術
技術的な対策は、ルールや人では対応できない部分を補完するものとなります。テレワークをする環境の多様性を考慮した上で、情報セキュリティの維持につながる技術を取り入れなければなりません。
企業のテレワーク方法に応じた対策の考え方
テレワークで実施する業務内容や、企業の予算によってさまざまなテレワークのパターンが考えられます。ガイドライン上では、6種類に分けて想定されています。
リモートデスクトップ方式
オフィスにあるPC等の端末のデスクトップ環境を、テレワーク端末から遠隔操作する方法です。オフィスと同じ環境を外部でも利用すれば、テレワークへと自然に移行できるでしょう。テレワークで利用する端末に電子データが残らない、という点ではセキュリティも担保しています。
ただし、オフィスと接続するインターネット回線に十分な速度が確保できなければ操作性が低下するおそれもあります。
仮想デスクトップ方式
自社のサーバー上で提供する仮想デスクトップ基盤(VDI)にテレワーク端末からアクセスして利用する方法です。リモートデスクトップ方式と異なる点は、オフィスに端末を準備する必要がないことです。この方式も、インターネット回線の速度が操作性を左右します。
クラウド型アプリ方式
オフィスやテレワーク先など場所に関わらず、インターネットに接続している環境から、クラウドサーバー上のアプリケーションにアクセスして作業する方法です。アプリケーションで扱った電子データはクラウド上だけでなく、テレワーク端末にも保存できるため、きちんとしたデータ管理を徹底しないと問題が生じる恐れもあります。
セキュアブラウザ方式
クラウド型アプリ方式をより安全性を高めた方式です。特別なインターネットブラウザで作業をすることにより、ファイルのダウンロードや印刷といった作業に制限をかけることもできます。こうすることで安全性が高まる一方、「テレワーク端末での作業が、ブラウザ経由で実行可能なものに限られてしまう」ということが、懸念されるでしょう。
アプリケーションラッピング方式
テレワーク端末に「コンテナ」というローカル環境とは別の仮想的な環境を設けて、テレワーク業務用のアプリケーションを動作させる方式です。テレワーク端末内に電子データを残さずに利用が可能で、回線速度の影響も受けにくいのがメリットです。
会社PCの持ち帰り方式
オフィスで使用している端末を自宅などテレワーク先に持ち運んで作業する方法です。社外からオフィスにアクセスすることから、VPNを介した接続を行うことが前提となります。また、テレワーク端末にあらゆるデータを保存することになるため、6種類の中で、最も厳格な情報セキュリティ対策をしておく必要があります。
テレワークセキュリティ対策
テレワークセキュリティ対策は、自社で想定されるリスクや種類の程度に応じて講ずることで、効果を高める期待ができます。ここでは、6つの対策についてガイドラインに基づいて解説していきます。
情報セキュリティ保全対策
セキュリティ対策には、まず自社の基本となるルール「情報セキュリティポリシー」の策定が必要です。情報セキュリティポリシーの構成はピラミッド型で考えるとよいでしょう。
ピラミッドの最上段は根幹となるため、まずは基本方針をしっかり定めます。真ん中の段は対策基準を意味し、達成すべき目的(KPI)を定めます。最下段は具体的な実施内容や施策となるタスクを考えるステップです。これらは企業理念や保有する情報資産、業種・業態によっても異なってくるため、より自社に合致したものにしていくことが重要です。
マルウェア対策
インターネット回線を利用するテレワークでは、マルウェアへの対策が必須となります。具体的なものとしては、フィルタリング設定やアプリケーションのインストールを承認制に設定することに加え、ウイルス対策ソフトのインストールやパッチ適用、端末へのOS・ソフトウェアのアップデート実施などが挙げられます。
これらの対策はシステム管理者と従業員双方が取り組めるようにしておかなければなりません。特にシステム管理者は、従業員が適切な対策を行っているかを随時確認できる仕組みを作っておきましょう。
端末の紛失・盗難対策
会社のPCを社外に持ち出す場合などは特に、端末の紛失や盗難対策に気を配らなければなりません。具体的には、オフィス外に電子データをはじめとする情報資産を持ち出す際、原本を端末外にバックアップし安全な場所に保存しておくことが大切です。そのほか、誰が取り扱っているかを「見える化」する資産貸し出し台帳の整理や、機密性が求められるデータについてはやり取り自体を暗号化することが重要です。
重要情報の盗聴対策
インターネット回線を使用する都合上、第三者による通信傍受にも備える必要があります。企業間で機密性が求められる電子データをやり取りする際は、VPNを使用したり、暗号化する仕組みを作ったりするようにしましょう。また、カフェ等の無線LANを使用して仕事することを鑑みて、端末の無線LANに対する脆弱性対策も必要です。また、従業員には外部作業する際、画面の覗き見防止に対しての対策を各自おこなってもらうことも大切です。
不正アクセス対策
テレワーク先での作業は、第三者の侵入により不正アクセスの被害を受けるおそれがあります。そのため、不正アクセスを防止する対策を取らなければなりません。
具体的には、社内システムのアクセス時に利用者認証制度を導入する、インターネット経由ではシステム管理者が指定したアクセス方法のみを採用する、といったことが挙げられます。またテレワーク端末などに使用するパスワードは使い回しをせず、一定以上の長さで他人に推測されないものに設定しましょう。
外部サービスの利用に対する対策
Facebook、Twitter、メッセージをやり取りするアプリケーションなど、個人で外部サービスを利用する際、業務に関する内容をやり取りしないよう、管理者や従業員のセキュリティ意識を高く持つ必要があります。
これらについては対策だけではなく、一人ひとりが危険性を理解して、日頃から気をつけることが重要です。従業員向けに利用ルールやガイドラインを整備し、掲示するなどの対策が必要となるでしょう。また、ファイル共有サービスなどのパブリッククラウドサービスの利用についてもルールを整備しておいた方がよいでしょう。
まとめ
新たな働き方としてテレワークを推し進める中、企業は従業員が社外であらゆる情報を取り扱うことを想定した、セキュリティ対策も同時に行っていく必要があります。ここで記載した「テレワークセキュリティガイドライン(第4版)」の指針をよく理解した上で、自社に適したテレワークでのセキュリティ対策を構築するようにしましょう。
