[第6回]1分でわかる!テレワークセキュリティガイドライン

セキュリティ被害の状況

昨今の情勢よりテレワークという働き方がより身近になってきました。 企業は社内ネットワークとは異なる環境で社員にPCデバイスを使用させるリスクと向き合わなければなりません。事実、テレワークという働き方が始まってから、新しい技術の裏をかいてウィルス感染や悪意のある第三者からのアクセス被害も発生しています。
社員が見覚えのないメールを開いてランサムウェア(身代金要求型不正プログラム) に感染し強制的にデータロックをかけられたり、システム管理者がセキュリティツールのアップデートを怠っていた為にVPN経由でウィルスに感染し管理者権限を乗っ取られてしまうなどという事件が最たる例となります。
企業はこれらの新しいリスクへの正しい理解と予防、そして対処が必要になってきます。

テレワークセキュリティガイドラインの概要

総務省がテレワークを安全に導入し、安心して活用するための指針として、情報セキュリティ対策をまとめ、公表しています。2004年の初版から18年の4版まで最新の動向を反映してきましたが、新型コロナウイルスの感染拡大を踏まえ、20年度中に改定し5版として公表する予定です。

テレワークセキュリティ対策のポイント

経営者とシステム管理者、勤務者の別に対策をまとめ、@経営者はテレワークを考慮したセキュリティポリシーを定め定期的に監査し見直すA管理者はセキュリティ維持の技術対策をとり定期的に実施状況を調べるB勤務者はポリシーに従い実施状況を点検するなど、具体的に示しているのが特徴です。ポリシーは全体の根幹となる基本方針にとどまらず、実施すべきことや守るべきことを明確に示す対策基準、具体的に実行するための手順を示す実施内容の3つの階層で構成されています。

ポリシーの策定・監査

テレワークセキュリティ対策の概要

経営者は社内の情報資産を重要度に応じてレベルを分けテレワークでの利用の可否や取扱方法を定め、管理者はレベル分けに応じて情報へのアクセス制御、暗号化などを設定し、勤務者はレベルに応じたルールに従い情報を取り扱います。おすすめの対策と合わせて秘密情報の漏洩、盗難などトラブルの事例とその対策も具体的に示しているため、読みながら対策づくりを進めることができます。紙媒体で情報を持ち出す際の注意点や対策などはコラムで統計データなどを基に詳しく説明しています。
テレワークに欠かせない教育・啓発は毎日あるいは定期的に実施し、社内メールで通知したり、勤務者が目をとめやすいところに掲示したりと常に意識してもらうことが効果的としています。万一の事故に備えて連絡体制を整え常に確認して迅速な対策をとれるようにすることも重要で、早期発見・早期対応が事故の影響を最小限に抑えるとしています。
企業のシステムを不正に動かしデータ破壊や盗難などの害をもたらすコンピューターウイルスを含むマルウエアについては、管理者が危険なサイトにアクセスしないように技術的な制限をかける一方、勤務者は外部サイトへのアクセスを最小限にとどめ、アクセスする前にはOS(基本ソフト)やブラウザ、アプリケーションの更新を染ませるようにすることなどを勧めています。

情報セキュリティ教育
出典 : テレワークセキュリティガイドライン 第4版

まとめ

1月8日の緊急事態宣言の再発令では人同士の接触機会をできるだけ減らすため、出勤者の7割削減が強く求められました。多くの企業は昨春、在宅勤務体制の整備を進め、大企業はすでに半数近くがテレワークを実施し、従業員の3分の1が在宅勤務を経験しているとの調査結果がでています。年末年始の感染急拡大は昨春始まった感染拡大が1年以上続く見通しを確実なものにし、テレワークが普通の働き方として定着していく中で、安心確実なセキュリティ対策が強く求められています。

テレワークがこのように普及している中、企業の基幹システムも多くの電子化が求められています。オービックは会計を中心に人事・給与 また、各業界のソリューションを、クラウドでご提供いたします。業界・業務ソリューションについてご検討でしたら、お問い合わせください。