ICTで経営課題の解決に役立つコラムを掲載
テレワークに関する総務省情報セキュリティガイドラインを解説

端末や場所を選ばず、さまざまな環境で業務可能なテレワーク。そのため、セキュリティー面で懸念点が多数存在します。
テレワークに関する情報セキュリティーについては、総務省が「テレワークセキュリティガイドライン」※1を公表しています。各企業は、同ガイドラインの内容を踏まえた上で、テレワークに起因する情報漏えいのリスクを最小化するように努める必要があります。
今回は、テレワークに関して企業が講ずべき情報セキュリティー対策をまとめました。
テレワークのセキュリティー対策は必須
テレワークを導入する際には、オフィス等での勤務とは異なる観点から、セキュリティー対策を再検討する必要があります。
テレワークの場合、オフィスネットワークを経由せずにインターネットへ直接アクセスするケースが多くみられます。
また、PCやスマートフォン等の端末におけるセキュリティー対策の内容・程度も、従業員ごとにまちまちとなりやすい傾向にあります。
こうしたテレワークの特性を踏まえた上で、テレワークを導入する企業においては、以下の3つの観点からセキュリティー対策を整備し直すことが求められます。
(1)経営者が実施すべきセキュリティー対策 (2)システム・セキュリティー管理者が実施すべき対策 (3)テレワーク勤務者が実施すべき対策 |
総務省の「テレワークセキュリティガイドライン」※2では、テレワーク方式にかかわらず共通的に実施すべきセキュリティー対策として、13種類の対策分類を掲げています。
13種類の対策分類の中で、経営者、システム・セキュリティー管理者、テレワークそれぞれ立場ごとの対処法をご紹介しましょう。
テレワークに関する13種類のセキュリティー対策
セキュリティー対策(1)|ガバナンス・リスク管理
「ガバナンス・リスク管理」とは、テレワークに関するリスクマネジメントや、社内規程の整備等の対策です。各対策の総論的な位置づけとなっています。
ガバナンス・リスク管理については、経営者が基本方針やルールを定め、システム・セキュリティー管理者が実務運用を管理するのが基本的な考え方です。
テレワーク勤務者は、定められたルール等を遵守するとともに、ルール上不明確な部分はシステム・セキュリティー管理者に逐一確認することが求められます。
セキュリティー対策(2)|資産・構成管理
「資産・構成管理」とは、テレワークで利用するハードウェアやソフトウェアの特定・管理に関する対策です。使用可能な端末やサービス・アプリケーション等を限定・把握することにより、情報漏えいのリスクを最小化する目的があります。
●システム・セキュリティー管理者 ●テレワーク勤務者 |
セキュリティー対策(3)|脆弱性管理
「脆弱性管理」とは、ソフトウェアのアップデート実施等により、コンピュータウイルス等に対する脆弱性を排除するための対策です。
●システム・セキュリティー管理者 ●テレワーク勤務者 |
セキュリティー対策(4)|特権管理
「特権管理」とは、不正アクセス等に備えてシステム・セキュリティー管理者に与えられた権限を、無権限者に不正利用されないように保護するための対策です。
●システム・セキュリティー管理者 |
セキュリティー対策(5)|データ保護
「データ保護」とは、保護すべきデータの特定や、保存データの機密性・利用可能性を確保するための対策です。
●経営者 ●システム・セキュリティー管理者 ●テレワーク勤務者 |
セキュリティー対策(6)|マルウェア対策
「マルウェア対策」とは、悪意あるコードやソフトウェア(=マルウェア)の感染防止や検出等に関する対策です。
●システム・セキュリティー管理者 ●テレワーク勤務者 |
セキュリティー対策(7)|通信の保護・暗号化
「通信の保護・暗号化」とは、通信中におけるデータの機密性・利用可能性を確保するための対策です。
●システム・セキュリティー管理者 ●テレワーク勤務者 |
セキュリティー対策(8)|アカウント・認証管理
「アカウント・認証管理」とは、会社のシステムにアクセスするためのアカウント管理や認証手法に関する対策です。
●システム・セキュリティー管理者 ●テレワーク勤務者 |
セキュリティー対策(9)|アクセス制御・認可
「アクセス制御・認可」とは、データやサービスへのアクセス権限を必要最小限の範囲に限定する対策です。
●システム・セキュリティー管理者 ●テレワーク勤務者 |
セキュリティー対策(10)|インシデント対応・ログ管理
「インシデント対応・ログ管理」とは、実際に情報漏えい等が発生した場合における、迅速な対応やログの取得・調査に関する対策です。
●経営者 ●システム・セキュリティー管理者 ●テレワーク勤務者 |
セキュリティー対策(11)|物理的セキュリティー
「物理的セキュリティー」とは、覗き見等の物理的な手段による情報漏えいを防ぐため、テレワーク勤務者が実施すべき対策です。
●テレワーク勤務者 |
セキュリティー対策(12)|脅威インテリジェンス
「脅威インテリジェンス」とは、情報漏えい等の脅威に関する情報収集につき、システム・セキュリティー管理者が実施すべき対策です。
●システム・セキュリティー管理者 |
セキュリティー対策(13)|教育
「教育」とは、テレワーク勤務者の情報セキュリティーに関する理解・意識を向上させるための対策です。
●経営者 ●システム・セキュリティー管理者 ●テレワーク勤務者 |
まとめ
テレワークに関する情報セキュリティーの強化には、経営者、システム・セキュリティー管理者、テレワーク勤務者が、それぞれの役割をきちんと果たすことが重要です。
テレワークを導入する企業では、情報セキュリティーに関して自らの立場に応じた役割を再認識できる機会を、すべての役員・従業員に対して定期的に設ける必要があります。
参考資料一覧(ページ数は、参考文献内の表記に準じています)
あわせて読みたいナレッジ
関連製品
Bizナレッジキーワード検索
- カテゴリーから探す
- 快適なオフィスの実現
- 生産性向上
- 労働力不足の解消
- セキュリティー対策
- ビジネス拡大
- 環境・エネルギー対策