docomo business | NTT Communications

注目のキーワード

  • docomo business Watch
  • “テレワークだからこそ”気をつけたい情報セキュリティとは!?

“テレワークだからこそ”気をつけたい
情報セキュリティとは!?

“テレワークだからこそ”気をつけたい情報セキュリティとは!?

2020.09.25

セキュリティリモートワーク環境の構築テレワーク

新型コロナウイルス感染症対策として、在宅勤務が急速に拡大しています。在宅勤務を効率的に実施するためには、ICTの活用と強固なセキュリティが欠かせません。

目次

1.在宅勤務時の情報セキュリティ対策の考え方

在宅勤務の実施にあたり、情報セキュリティ面での不安を感じる中小企業の担当者の方も多いのではないでしょうか。当コラムでは、総務省が策定した、「テレワークセキュリティガイドライン 第4版(以下、『ガイドライン』/*1)」に基づいて、在宅勤務時の情報セキュリティ対策のポイントを解説します。

*1 テレワークセキュリティガイドライン第4版(総務省/2018年4月)

このガイドラインでは、セキュリティ対策の基本的な考え方だけでなく、経営者、システム管理者、在宅勤務者それぞれの立場からの対策や、在宅勤務(テレワーク)ならではのセキュリティ対策が、事例を交えて詳しく紹介されています。なお、今回は在宅勤務に焦点をあてた解説といたしますが、広義のテレワークでも同様の対策が有効となる場合も多くあります。

在宅勤務とオフィス勤務での情報セキュリティの違い

在宅勤務やテレワークでは、従業員同士のやりとりにも基本的にはインターネットを利用する必要があること、家族も含め従業員以外の第三者が立ち入る可能性のある場所で作業を行う場合があることがあげられています。また、持ち運びしやすいノートパソコンなどのモバイル機器を利用する場合、紛失や盗難、盗聴などの恐れもあります。

情報セキュリティの基本

前提として、情報セキュリティ対策には「最も弱いところが全体のセキュリティレベルになる」という特徴があります。どこか1か所に弱点があれば、ほかの対策をいくら強化しても全体のセキュリティレベルの向上にはつながりません。そこで、情報資産を守るためには、「ルール」「人」「技術」のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることがポイントとなります。

情報セキュリティの基本

まず、「ルール」の部分について、現在の対策が安全かどうか、その都度専門家が判断するのは効率的ではありません。そこで、「このように仕事をすれば、安全を確保できる」という社内の標準ルールを定めておけば、従業員はルールを守ることにより、求める基準に沿って仕事を進めることができます。

「人」の部分は、一番実践が難しい部分です。在宅勤務者はオフィスから目の届きにくいところで作業をするため、ルールが守られているかどうかの確認は困難です。そこで、ルール定着のため、すべての関係者へルールの趣旨を理解させ、遵守させるメリットを自覚させる必要があります。また、在宅勤務者が情報セキュリティに関する知識を習得することで、フィッシングや標的型攻撃などの被害を受けにくくなります。

ルールや人では対応しきれない部分は、「技術」で補う必要があります。セキュリティ対策を自動的に実施できる技術を用いれば、在宅勤務を含む多様なテレワーク環境でも情報セキュリティを維持することにもつながります。たとえば、ウイルス対策などのソフトウェアを端末に導入する、セキュリティ面での機能が高いICT機器を選択するなどの対策が考えられます。

2.在宅勤務・テレワークの情報セキュリティトラブル事例

在宅勤務やテレワークでは、オフィスとはまた違った情報インシデントが発生しています。具体的なトラブル事例と、その対策の一例をご紹介します。

「端末の紛失に関するトラブル」

ローカルディスクに取引実績を含む得意先リストを収納した端末を、移動中の電車内に収納していたカバンごと置き忘れ、後日それに気づいて鉄道会社に問い合わせてみたものの、落とし物としての届出はありませんでした。数か月後、得意先から「御社にしか知らせていない電話番号にセールスの電話が来る」との苦情が寄せられるようになり、営業担当者全員で謝罪に奔走することになりました。

対策例

持ち運ぶ機会が多く盗難や紛失の恐れがある端末については、システム管理者が、端末内に情報を保持しない端末を用意し、テレワーク勤務者に使ってもらうことが適切な対策となります。ただし、そのような端末は携帯電話等の電波が届かない場所では利用できないため、それでは困る場合、端末内のハードディスクや SSD 内の業務情報を暗号化しておき、その復号のための鍵(解除用のパスワード)を端末内に保存しないようにします。

モバイル端末などで、遠隔で端末内の情報を消去できる機能があるものについては、勤務者が日頃から有効にしておくことが望まれます。ただし意図的に情報を盗むことを目的として盗難にあった場合、電波の届かない場所で起動された場合にはリモートワイプは機能しないことも認識しておく必要があります。

もちろん、通常のオフィス勤務で発生する情報流出のようなインシデントも、在宅勤務・テレワークで発生する可能性はあるため、オフィス以上に情報セキュリティ対策を徹底する必要があります。

3.経営者、システム管理者、在宅勤務者の立場からの考え方

在宅勤務の実施において、経営者、システム管理者、在宅勤務者それぞれの立場からセキュリティの保全に関してどのようにすべきかを認識しておく必要があります。

経営者

経営者は情報セキュリティに関するルールを作り、推進します。業務でのICT利活用が進展した現在、情報セキュリティ上の事故が生じた場合、経営に直結した被害が生じることを自覚し、その防止のために必要な対策をルールとして定めていくことが求められます。さらに、大局的な立場から情報セキュリティ保全の全般に関して、経営者の立場でなければできないことを認識します。具体例として、実施すべき情報セキュリティ対策を定めた上で、その導入・運用に必要な人材・費用を確保することが挙げられます。

システム管理者

社内システムには企業にとって守るべき電子データが数多く存在します。テレワーク端末から社内システムにアクセスできるようにするなど、外部とのやりとりを可能とすることは、社内システムへの不正侵入・不正アクセスのリスクを高めることにもつながります。また、社内システムからウイルスを蔓延させてしまう脅威などに対しても十分な対策を行う必要があります。これらの脅威を踏まえて、システム全体を管理するシステム管理者として実施すべきことを認識します。

在宅勤務者

たとえば、不審なメールが届いたとき、オフィスであれば、「このメールはおかしくないですか?」と近くの人に相談することが簡単にできますが、在宅勤務者の場合は相談しづらい場合もあります。また、テレワーク端末は、オフィス内の端末と比べると、システム管理者が自ら管理のための操作を行うことが難しいことから、在宅勤務者が自身で管理することの重要性を自覚した上で、対策を理解することが望まれます。

4.経営者、システム管理者、在宅勤務者が実施すべきセキュリティ対策例

1)経営者が実施すべき対策例

・在宅勤務における情報セキュリティ対策に適切な理解を示した上で、必要な人材・資源に必要な予算を割りあてる

在宅勤務は新しい働き方で、これまで実施していなかった職場で無理なく安全に導入するためには、オフィス環境における防犯対策に費用が必要なように、テレワーク環境における情報セキュリティ対策にも適切な投資を行うことが必要です。テレワークを実施するシステムについては、いくつかの方式がありますが、私的端末の利用を認めるかどうかが大きなポイントです。私的端末の利用は、導入コストを抑えられる半面、管理が不十分になる恐れもあります。経営者は、セキュリティリスクと導入コストを比較し、検討する必要があります。

たとえば、仮想デスクトップを利用すれば、手元のパソコンには電子データは保存されません。しかし、クラウド型アプリ方式の場合は、私的端末にデータ保存可能な場合もあるため、対策がおろそかだと事故につながる恐れもあります。もちろん、導入に必要な設備の選定だけでなく、その運用・管理を行う人的資源の確保も、経営者が責任を持つ基本的な対策に含まれます。

情報セキュリティ対策は単に多額の投資を行えばよい、というものではなく、自社のテレワークにおいて何を実現し、何を守るべきかを明確にした上で、その実現に適した方法を選び、その方法に必要な投資を行うことが重要です。

2)システム管理者が実施すべき対策例

・在宅勤務者への情報セキュリティに関する継続的な周知活動
・情報セキュリティ事故の発生に備え連絡体制を確認、事故時の対応についての訓練も実施
・在宅勤務者が危険なサイトにアクセスしないようフィルタリング設定
・貸与用端末にウイルス対策ソフトをインストール、OSやソフトウェアを最新の状態に保つ
・金融機関や物流業者などを装う不審メールを迷惑メールとして分類されるよう設定
・私的端末利用の際は、必要な対策が施されていることを確認
・スマートフォンなどは 不正な改造が施されていないか確認
・社内システムへのアクセスパスワードを低強度のものは利用不可に設定

私用端末を在宅勤務に用いる場合、端末が適切に管理されていないと、悪意のソフトウェアに感染したり、不正アクセスの入口として利用されたりすることで、 その端末が企業全体の情報漏えいの原因となる恐れがあります。スマートフォンやタブレット端末についても、俗にいう「脱獄」や「root化」などの不正改造が施された端末を、業務に使用しないように指導します。

また、在宅勤務者が定められたルールを守っているかどうかをシステム管理者が確認することは容易ではありません。就業規則などに機密保持とその違反時の罰則に関する規定を定めるとともに、ルール遵守のメリットを理解してもらうような周知活動も重要です。

3)在宅勤務者が実施すべき対策例

・機密性が求められる電子データを送付する際は必ず暗号化する
・第三者のいる環境で作業を行う場合、画面にプライバシーフィルタを装着したり作業場所を選ぶようにする
・社内システムにアクセスする際はシステム管理者が指定した方法のみを用いる

オフィスには、情報セキュリティに関する管理責任者がいるのが普通ですが、在宅勤務では、勤務者自身がその場所における管理責任者です。特に、情報資産を持ち出して仕事をしている場合、その間の管理責任は、本人にあります。定められたルール (重要情報の暗号化、安全な通信経路の利用など)を守って作業をしていれば、仮に作業中に事故が発生して情報が漏えいしたり、情報が失われても勤務者が責任を問われることはありませんが、ルールを守っていなかったり、重大な過失があった場合は、事故の責任を負わなければなりません。上司の目が届きにくいからといって、ルールを守らずに作業することは、結果的に本人にとって重大な損失を招きかねないことを理解しておくことが必要です。

5.在宅勤務者が配慮すべきセキュリティ

以上、経営者、管理者、在宅勤務者のそれぞれが果たすべき役割にわけて解説いたしました。情報セキュリティとは、管理部門やIT部門がすべてを考えて実行するというのではありません。それぞれの役割に応じて、適切な対応をすることが必要です。

在宅では、本人の責任が重くなることにも注意が必要です。パソコンやソフトウェアが企業から貸与されている場合でも、通信環境は家庭内の環境を使うことになるので、ネットワークのセキュリティ管理者は本人になります。利用端末のセキュリティの確認やネットワークの設定はますます重要になります。とはいえ、セキュリティ対策をしっかり行うことで、先進的なハードウェアやソフトウェアを利活用するチャンスが拡大します。

当コラムでは、ガイドラインをもとに在宅勤務特有のセキュリティ対策を中心として解説いたしました。これらの対応をより強固にするためには、コラボレーションツールやWeb会議システム、仮想デスクトップのようなツールも、高セキュリティなものを選ぶ必要があります。もちろん、これらのツールは在宅勤務時の業務効率に直結するため、セキュリティと同時に機能や品質にもこだわる必要があります。

関連サービス

ドコモビジネスがお届けする
メールマガジン(無料)のご案内

  • コラム

    最新のサービス情報や
    ソリューションのご紹介

  • サービス導入事例

    他社の課題解決事例や
    ベストプラクティス

  • セミナー・イベント

    旬なテーマが詳しくわかる
    企画をご案内

\ご登録は1分で完了/

メルマガ登録

ドコモビジネスでは、法人向けインターネットやスマホをはじめ、
中堅・中小企業のお客さまに役立つサービスを多数ご用意しています

相談・購入はこちらから

今すぐ購入したい方はこちら

オンラインショップ

オンラインで相談・購入したい方はこちら

オンライン相談

店舗で相談・購入したい方はこちら

ドコモショップ

最適なサービスを探したい方はこちら

中小企業向けサービスサイト

関連記事

もっと見る
検索