官民一体となって大きなプロジェクトになっているテレワークセキュリティガイドライン第4版の採用。また、現在では新型コロナウイルス感染拡大の影響を受けて政府から出勤者の70%削減の要請もあり、多くの企業で在宅勤務実現のためにテレワーク環境の整備が急務となっているのではないでしょうか。環境の整備と平行して検討しなければいけないのがセキュリティ対策です。テレワーク実現のために、セキュリティを犠牲にしてよいわけではありません。政府では、テレワーク採用企業が適切なセキュリティ対策を講じられるようにと、『テレワークセキュリティガイドライン第4版(https://www.soumu.go.jp/main_content/000545372.pdf)』を発行しています。
今回はこのセキュリティガイドラインから重要な内容を抜粋しながら、テレワーク採用企業が取り組むべきセキュリティ対策についてご紹介します。
システム管理者が実施すべきセキュリティ対策
まずは、システム管理者から見たセキュリティ対策を確認していきましょう。
情報セキュリティ保全対策の大枠
1. システム全体を管理する重要な立場であることを自覚し、情報セキュリティポリシーに従ってテレワークのセキュリティ維持に関する技術的対策を講じるとともに定期的に実施状況を監査する。
2. 情報のレベル分けに応じて、電子データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行う。
3. テレワーク勤務者の情報セキュリティに関する認識を確実なものにするために、定期的に教育・啓発活動を実施する。
4. 情報セキュリティ事故の発生に備えて、迅速な対応がとれるように連絡体制を確認するとともに、事故時の対応についての訓練を実施する。
マルウェアに対する対策
5. フィルタリング等を用いて、テレワーク勤務者が危険なサイトにアクセスしないように設定する。
6. テレワーク勤務者がテレワーク端末にアプリケーションをインストールする際は申請が必要とし、情報セキュリティ上の問題がないことを確認した上で認める。
7. 貸与用のテレワーク端末にウイルス対策ソフトをインストールし、最新の定義ファイルが適用されているようにする。
8. 貸与用のテレワーク端末のOS及びソフトウェアについて、アップデートを行い最新の状態に保つ。
9. 私用端末をテレワークに利用させる際は、その端末に必要な情報セキュリティ対策が施されていることを確認した上で認める。
10. ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する。
11. 金融機関や物流業者からの事務連絡を装うなどの不審なメールが 迷惑メールとして分類されるよう設定する。
端末の紛失・盗難に対する対策
12. 台帳等を整備し、貸与するテレワーク端末の所在や利用者等を管理する。重要情報の盗聴に対する対策
13. テレワーク端末において無線LANの脆弱性対策が適切に講じられるようにする。
不正アクセスに対する対策
14. 社外から社内システムへアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用する。
15. テレワーク勤務者がインターネット経由で社内システムにアクセスする際のアクセス方法を定める。また、社内システムとインター ネットの境界線にはファイアウォールやルータ等を設置し、アクセス状況を監視するとともに、不必要なアクセスを遮断する。
16. 社内システムへのアクセス用のパスワードとして、強度の低いものを用いることができないように設定する。
外部サービス利用に対する対策
17.メッセージングアプリケーションを含むSNSに関する従業員向けの利用ルールやガイドラインを整備し、その中でテレワーク時の利用上の留意事項を明示する。
18.ファイル共有サービス等のパブリッククラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を禁止する。
テレワーク勤務者が実施すべきセキュリティ対策
次にテレワーク勤務者から見たセキュリティ対策を確認していきましょう。
情報セキュリティ保全対策の大枠
1.テレワーク作業中は、利用する情報資産の管理責任を自らが負うことを自覚し、情報セキュリティポリシーが定める技術的・物理的及び人的対策基準に沿った業務を行い、定期的に実施状況を自己点検する。
2.テレワークで扱う情報について、定められた情報のレベル分けとレベルに応じたルールに従って取り扱う。
3.定期的に実施される情報セキュリティに関する教育・啓発活動に積極的に取り組むことで、情報セキュリティに対する認識を高めることに務める。
4.情報セキュリティ事故の発生に備えて、直ちに定められた担当者に連絡できるよう連絡体制を確認するとともに、事故時に備えた訓練に参加する。
マルウェアに対する対策
5.マルウェア感染を防ぐため、OSやブラウザ(拡張機能を含む)のアップデートが未実施の状態で社外のウェブサイトにはアクセスしない。
6.アプリケーションをインストールする際は、システム管理者にその旨を申請し、許可を受けたアプリケーションのみをインストールする。(私用端末利用の場合)テレワークで利用する端末にインストールするアプリケーションは、安全性に十分留意して選択する。
7.作業開始前に、テレワーク端末にウイルス対策ソフトがインストールされ、最新の定義ファイルが適用されていることを確認する。
8.作業開始前に、テレワーク端末のOS及びソフトウェアについて、アップデートが適用され最新の状態であることを確認する。
9.テレワークにはルールに定められた情報セキュリティ対策が適用されているものを使用し、スマートフォン、タブレット等に関して は不正な改造(脱獄、root 化等)を施さない。
10.テレワーク作業中にマルウェアに感染した場合、迅速に報告を行う。報告の漏れや遅れが被害拡大につながる恐れがあることも自覚し、電子メールの添付ファイル開封やリンク先のクリックにより一層の注意を払う。
端末の紛失・盗難に対する対策
11.オフィス外に情報資産を持ち出すとき、その原本は安全な場所に保存しておく。
12.機密性が求められる電子データを極力管理する必要が無いように業務の方法を工夫する。やむを得ない場合は必ず暗号化して保存するとともに、端末や電子データの入った記録媒体(USBメモリ等)等の盗難に留意する。
重要情報の盗難に対する対策
13.機密性が求められる電子データを送信する際には必ず暗号化する。
14.無線 LAN 利用に伴うリスクを理解し、テレワークで利用する場合は確保すべきセキュリティレベルに応じた対策が可能な範囲で利用する。
15.第三者と共有する環境で作業を行う場合、端末の画面にプライバシーフィルターを装着したり、作業場所を選ぶ等により、画面の覗き見防止に努める。
不正アクセスに対する対策
16.社外から社内システムにアクセスするための利用者認証情報(パスワード、ICカード等)を適正に管理する。
17.インターネット経由で社内システムにアクセスする際、システム管理者が指定したアクセス方法のみを用いる。
18.テレワークで使用するパスワードは、使い回しを避け、一定以上の長さで他人に推測されにくいものを用いるように心がける。
外部サービスの利用に対する対策
19.メッセージングアプリケーションを含むSNSをテレワークで利用する場合、社内で定められたSNS利用ルールやガイドラインに従って利用するようにする。
20.テレワークでファイル共有サービス等のパブリッククラウドサービスを利用する場合、社内ルールで認められた範囲で利用する。
[SMART_CONTENT]
テレワーク採用にクラウドを検討する理由
近年では個人情報・機密情報が保管されている持ち出し用ノートパソコンやUSBメモリなどの紛失・盗難による情報漏えい事件が非常に多く、テレワークでは最も警戒しなければいけません。
そこで、セキュリティリスクを低減しながらテレワークの利便性を損ねないように検討が進んでいるのがクラウドサービスの活用です。クラウドサービスはインターネット経由で提供されるサービスなので、セキュリティ性に不安を抱える声も聞こえてきます。しかし実際は、ビジネス向けのクラウドを利用することでセキュリティがむしろ向上する、というのが昨今の状況です。イントラネットという境界で守る従来の方法とはセキュリティの考え方が異なると言った方が、クラウドサービスのセキュリティを理解しやすいかも知れません。
例えばクラウドストレージとしてBoxを採用すると、インターネット上のサービスですが、各フォルダやファイルそのものに強固で柔軟なセキュリティが掛かるため、しっかりとしたセキュリティ管理下において機密情報を扱うことが可能となります。そのため安心してテレワークに取り組むことができます。また、テレワークに従事しているもの同士や社外関係者とのファイル共有なども安心して行えるため、生産性を大幅に向上させることも可能です。
上記にご紹介したセキュリティガイドラインの内容に目を通したら、次にクラウドサービスを利用することでどのような効果があるか?どのような問題を解決できるのか?を考えてみてはいかがでしょうか。クラウドで快適かつ安全性の高いテレワーク環境を整えましょう。
