このページの本文へ移動

Bizナレッジ

ICTで経営課題の解決に役立つコラムを掲載

セキュリティー対策

テレワークに関する総務省情報セキュリティガイドラインを解説

端末や場所を選ばず、さまざまな環境で業務可能なテレワーク。そのため、セキュリティー面で懸念点が多数存在します。

テレワークに関する情報セキュリティーについては、総務省が「テレワークセキュリティガイドライン」※1を公表しています。各企業は、同ガイドラインの内容を踏まえた上で、テレワークに起因する情報漏えいのリスクを最小化するように努める必要があります。

今回は、テレワークに関して企業が講ずべき情報セキュリティー対策をまとめました。

テレワークのセキュリティー対策は必須

テレワークを導入する際には、オフィス等での勤務とは異なる観点から、セキュリティー対策を再検討する必要があります。

テレワークの場合、オフィスネットワークを経由せずにインターネットへ直接アクセスするケースが多くみられます。
また、PCやスマートフォン等の端末におけるセキュリティー対策の内容・程度も、従業員ごとにまちまちとなりやすい傾向にあります。

こうしたテレワークの特性を踏まえた上で、テレワークを導入する企業においては、以下の3つの観点からセキュリティー対策を整備し直すことが求められます。

(1)経営者が実施すべきセキュリティー対策

(2)システム・セキュリティー管理者が実施すべき対策

(3)テレワーク勤務者が実施すべき対策

総務省の「テレワークセキュリティガイドライン」※2では、テレワーク方式にかかわらず共通的に実施すべきセキュリティー対策として、13種類の対策分類を掲げています。

13種類の対策分類の中で、経営者、システム・セキュリティー管理者、テレワークそれぞれ立場ごとの対処法をご紹介しましょう。

テレワークに関する13種類のセキュリティー対策

knowledge20221204_02.jpg

セキュリティー対策(1)|ガバナンス・リスク管理

「ガバナンス・リスク管理」とは、テレワークに関するリスクマネジメントや、社内規程の整備等の対策です。各対策の総論的な位置づけとなっています。

ガバナンス・リスク管理については、経営者が基本方針やルールを定め、システム・セキュリティー管理者が実務運用を管理するのが基本的な考え方です。
テレワーク勤務者は、定められたルール等を遵守するとともに、ルール上不明確な部分はシステム・セキュリティー管理者に逐一確認することが求められます。

セキュリティー対策(2)|資産・構成管理

「資産・構成管理」とは、テレワークで利用するハードウェアやソフトウェアの特定・管理に関する対策です。使用可能な端末やサービス・アプリケーション等を限定・把握することにより、情報漏えいのリスクを最小化する目的があります。

●システム・セキュリティー管理者
利用可能な端末やサービス・アプリケーション等の範囲を定め、テレワーク勤務者に対して周知します。また、実際に使用されている端末については、テレワーク勤務者からの申請等に基づいて管理・把握します。

●テレワーク勤務者
システム・セキュリティー管理者の定めたルールを遵守しつつ、テレワーク端末の適切な管理や盗難・紛失防止に努める必要があります。

セキュリティー対策(3)|脆弱性管理

「脆弱性管理」とは、ソフトウェアのアップデート実施等により、コンピュータウイルス等に対する脆弱性を排除するための対策です。

●システム・セキュリティー管理者
ソフトウェアのアップデート等をテレワーク勤務者に周知します。

●テレワーク勤務者
システム・セキュリティー管理者の指示に従い、タイムリーにアップデート等を実施することが求められます。

セキュリティー対策(4)|特権管理

「特権管理」とは、不正アクセス等に備えてシステム・セキュリティー管理者に与えられた権限を、無権限者に不正利用されないように保護するための対策です。

●システム・セキュリティー管理者
管理者権限を最小限の従業員等だけに付与した上で、アクセス経路を限定し、強力なパスワードポリシーを適用する等の対策が求められます。

セキュリティー対策(5)|データ保護

「データ保護」とは、保護すべきデータの特定や、保存データの機密性・利用可能性を確保するための対策です。

●経営者
業務で取り扱うデータについて、その取り扱いに関する重要度の方針を定めます。

●システム・セキュリティー管理者
経営者が定めた方針に従い、具体的なデータの取り扱い方法等を整理した上で、テレワーク勤務者に周知します。また、実際のデータの保存状況を把握すること等も、システム・セキュリティー管理者の役割です。

●テレワーク勤務者
リムーバブルメディア(USBメモリ等)や端末へのデータ保存等を含めて、所定のルールに従ってデータを取り扱うことが求められます。

セキュリティー対策(6)|マルウェア対策

「マルウェア対策」とは、悪意あるコードやソフトウェア(=マルウェア)の感染防止や検出等に関する対策です。

●システム・セキュリティー管理者
テレワーク端末においてマルウェア対策の設定等を行い、各端末におけるマルウェアの検知状況等を一元的に管理します。

●テレワーク勤務者
不審を感じたメールを開かないことや、システム・セキュリティー管理者へ速やかに報告すること等が求められます。

セキュリティー対策(7)|通信の保護・暗号化

「通信の保護・暗号化」とは、通信中におけるデータの機密性・利用可能性を確保するための対策です。

●システム・セキュリティー管理者
テレワーク端末を用いた通信の暗号化に関する設定を行うとともに、パスワードの設定方針等をテレワーク勤務者に周知します。

●テレワーク勤務者
暗号化された通信方法を用いて、かつ適切なパスワード設定を行った上で通信を行うことが求められます。

セキュリティー対策(8)|アカウント・認証管理

「アカウント・認証管理」とは、会社のシステムにアクセスするためのアカウント管理や認証手法に関する対策です。

●システム・セキュリティー管理者
システムへのアクセス時の認証システム(パスワード等)について、十分に強力なポリシーを策定・適用します。

●テレワーク勤務者
認証情報を適正に管理するとともに、第三者に推測されにくいパスワードを設定することが求められます。

セキュリティー対策(9)|アクセス制御・認可

「アクセス制御・認可」とは、データやサービスへのアクセス権限を必要最小限の範囲に限定する対策です。

●システム・セキュリティー管理者
アクセス権限の設定・管理等を行います。

●テレワーク勤務者
既定のアクセス権限を尊重して行動することが求められます。ただし、個々のオンライン会議に関するアクセス権限の設定等については、ポリシー等に従い、自身で適切に対応しなければなりません。

セキュリティー対策(10)|インシデント対応・ログ管理

「インシデント対応・ログ管理」とは、実際に情報漏えい等が発生した場合における、迅速な対応やログの取得・調査に関する対策です。

●経営者
インシデント発生時の迅速な対応を可能とするため、平時の段階からインシデント対応計画を策定しておく必要があります。

●システム・セキュリティー管理者
インシデントの発生時における対応手順・連絡窓口・取引先や監督官庁等への連絡体制を整備します。また、インシデントの再発防止対策を講ずるため、関連ログを改ざんされない形で保存できる体制を確保することも必要です。

●テレワーク勤務者
インシデント発生時の連絡先と対応手順を、あらかじめ確認することが求められます。また、インシデントの発生またはそのおそれを発見した場合は、速やかに所定の連絡先へ連絡しなければなりません。

セキュリティー対策(11)|物理的セキュリティー

「物理的セキュリティー」とは、覗き見等の物理的な手段による情報漏えいを防ぐため、テレワーク勤務者が実施すべき対策です。

●テレワーク勤務者
操作画面の自動ロック設定、プライバシーフィルターの貼付等を行うほか、周囲にいる人(自宅の家族を含む)の挙動等にも注意を払う必要があります。

セキュリティー対策(12)|脅威インテリジェンス

「脅威インテリジェンス」とは、情報漏えい等の脅威に関する情報収集につき、システム・セキュリティー管理者が実施すべき対策です。

●システム・セキュリティー管理者
セキュリティー関連機関からの情報収集や、業界団体・地域のセキュリティーコミュニティーへの加入・情報共有等を行います。

セキュリティー対策(13)|教育

「教育」とは、テレワーク勤務者の情報セキュリティーに関する理解・意識を向上させるための対策です。

●経営者
システム・セキュリティー管理者に対してセキュリティー研修の実施を指示したうえで、テレワーク勤務者に対して受講を呼びかけます。

●システム・セキュリティー管理者
経営者の指示に従い、定期的にセキュリティー研修を実施します。また、セキュリティーに関する重要な情報をテレワーク勤務者に周知することや、テレワーク勤務者におけるセキュリティー対策の実施状況を定期的に確認することも求められます。

●テレワーク勤務者
セキュリティー研修を受講し、情報セキュリティーに対する認識を高めるとともに、自らが実施しているセキュリティー対策を確認することが求められます。

まとめ

テレワークに関する情報セキュリティーの強化には、経営者、システム・セキュリティー管理者、テレワーク勤務者が、それぞれの役割をきちんと果たすことが重要です。

テレワークを導入する企業では、情報セキュリティーに関して自らの立場に応じた役割を再認識できる機会を、すべての役員・従業員に対して定期的に設ける必要があります。

参考資料一覧(ページ数は、参考文献内の表記に準じています)

  1. ※1 総務省「テレワークセキュリティガイドライン 第5版」
  2. ※2 総務省「テレワークセキュリティガイドライン 第5版」p55

あわせて読みたいナレッジ

関連製品