働き方の多様性を象徴するかのように、ここ数年で多くの企業が採用しているテレワーク。通勤時間やそれに伴う各種コストを削減するという観点に加え、コロナ禍を契機とするニューノーマルな社会生活への対応要請も相まって、2020年にテレワークを導入した企業も多いのではないでしょうか。
一方で、テレワーク実施には情報セキュリティ上のリスクがつきもの。同一社屋での就業を前提とする業務フローが組まれていた企業であれば、分散型の就業体制になった際の各種セキュリティリスクへの対応は必須であると言えるでしょう。
本記事では、そんなテレワーク時における情報セキュリティ対策の考え方や、具体的なケースに対応した方策について、それぞれ解説します。
テレワークの普及率と課題は?
そもそも、テレワークは現状でどれほど普及しているのでしょうか?
テレワークの普及率
テレワークの普及率についてはさまざまな調査データがありますが、例えば最も多くの企業が集積する東京都においては、都が実施する「テレワーク導入率調査」(従業員30人以上の都内企業が対象)で以下の導入率推移が発表されています。
2021年2月後半時点で、半数以上の企業がテレワーク導入に至っていることが分かります。
・2020年4月:62.7%
・2020年12月:51.4%
・2021年1月前半:57.1%
・2021年1月後半:63.5%
・2021年2月前半:64.8%
・2021年2月後半:58.7%
また同調査において、2021年2月後半時点の従業員規模別のテレワーク導入率は以下と発表されています。つまり、企業規模が大きくなるにつれて、導入率も高くなっていることが分かります。
導入している:78.1%、今後予定あり:2.7%、導入予定なし:19.2%
【100-299人(123社)】
導入している:69.1%、今後予定あり:0.0%、導入予定なし:30.9%
【30-99人(249社)】
導入している:47.8%、今後予定あり:2.0%、導入予定なし:50.2%
一方で、テレワーク実施率は地域によって大きく差があることも事実です。2020年12月に株式会社パーソル総合研究所が発表した調査結果によると、2020年11月の東京都のテレワーク実施率が45.8%であるのに対して、最下位である和歌山県は3.5%と、大きな差が確認できます(都道府県別データはこちら)。
テレワーク導入の課題
では、テレワークを導入するにあたって、企業はどんな課題感をもっているのでしょうか。
一つは、仕事とプライベートの区別がつかないことによる、従業員の心労への懸念です。ビジネスチャット等により常にコミュニケーションが可能な環境が整っているからこそ、オンとオフの区別がつきにくくなることが課題として認識されています。
また、地理的に分散した環境での就業となるので、顧客情報をはじめとする重要なデータの運用・管理がオフィス勤務時と比べて煩雑になり、情報セキュリティ事故が起きやすくなる、という懸念も課題として認識されています。
本記事では、主に後者の内容についてお伝えします。
テレワーク時の情報セキュリティ対策の考え方
まず、企業がテレワークを実施する際に留意すべき、情報セキュリティ対策の考え方を、総務省発行の「テレワークセキュリティガイドライン第4版」の内容に則って解説していきます。
「ルール」「人」「技術」のバランスがとれた対策の実施
企業が自社の情報資産を適切に守るためには、「ルール」・「人」・「技術」が三位一体のバランスでとれた対策を実施する必要があります。ここでいう技術とは、ルールや人では対応できない部分を補完するもので、種々の脅威に対して「認証」、「検知」、「制御」、「防御」を自動的に実施するものとなります。
上記3要素の中で、特に実施が難しいのが「人」の部分です。たとえ明確なルールを策定したとしても、実際に従業員がその内容を遵守しないことには、ルールによる効果を発揮できず、事故発生のリスクは変わらない状況が続いてしまいます。
従来のように営業など外勤の多い職種を中心に導入された時とは違い、職種を問わずテレワーク導入が「当たり前に」求められている時代だからこそ、関係者への教育や自己啓発を通じて情報セキュリティ対策を「自分ごと化」してもらい、その上で3要素のバランスをとった施策を講ずることが、テレワーク実施時における情報セキュリティ対策の基本かつ重要な考え方となります。
テレワークの方法に応じた対策の考え方
情報セキュリティ対策は、テレワークの実施方法によってさまざまなパターンが考えられます。総務省では以下の通り、「テレワーク端末への電子データの保存の有無」、「オフィスで利用する端末との関係」、「クラウドサービスを利用するかどうか」などを軸に、6パターンのテレワーク方式とそれに伴う対策内容を提示しています。
画像出典:総務省「テレワークセキュリティガイドライン第4版」p9
それぞれの立場でおさえるべきポイント
テレワークを実施する場合、経営者、システム管理者、そしてテレワーク勤務者、それぞれが情報セキュリティへの認識を高める必要があります。
例えば経営者の場合、テレワークによる働き方を推進する上でのルールづくりや、インシデント発生時の対応フローの策定、それらに伴うヒト・モノ・カネの調整・確保など、大局的な目線で対応していくことが求められます。また、オペレーション上の調整のみならず、従業員に対して明確なメッセージを発して、各自の自分ごと化を促進するといったリーダーとしての姿勢も重要となるでしょう。
システム管理者であれば、社内ネットワークへのアクセス性を向上させること即ち、社内システムへの不正侵入・不正アクセスの危険性を高めることにもつながるため、セキュリティリスクへの十分を講じる必要があります。
テレワーク勤務者の場合、何気ない業務の中にセキュリティリスクが潜んでいることを意識し、システム管理者のみにセキュリティ対策を任せるのではなく、まずは自身がリスクを把握、対策を講じる必要性を自覚することが肝心です。
テレワークセキュリティ対策のポイント
それでは、テレワークを実施するにあたって、具体的にどのようなセキュリティ対策を行えば良いのでしょうか。ここでも先述の「テレワークセキュリティガイドライン第4版」の内容に則る形で、経営者・システム管理者・テレワーク勤務者、それぞれの立場が実施すべき対策内容についてご紹介します。
経営者が実施すべき対策
経営者が実施すべき対策としては、主に情報セキュリティ保全対策の大枠についてとなります。具体的には、テレワークの実施を考慮した情報セキュリティポリシーを定めて定期的に監査し、テレワークの実態に応じて見直しを行うなど、社内で扱う情報について、その重要度に応じたレベル分けを行った上でテレワークでの利用可否と、利用可の場合の取扱方法を定める、などといった内容が挙げられます。
またテレワークにおける情報セキュリティ対策の重要性を理解し、適切な人材・資源に予算を割り当てましょう。
システム管理者が実施すべき対策
システム管理者は、情報セキュリティ保全対策の大枠についてはもちろん、悪意のあるソフトウェアへの対策や、端末の紛失・盗難への対策、重要情報の盗聴への対策、不正侵入・踏み台への対策、外部サービス利用への対策についての具体的な内容を、それぞれ策定する必要があります。
テレワーク勤務者が実施すべき対策
テレワーク勤務者は、上述のシステム管理者が策定したルールに対して、それぞれオペレーションレベルで対応する必要があります。具体的な内容については、次章でご説明します。
徹底解説! テレワークセキュリティガイドライン
ここからは、テレワーク実施時における具体的なセキュリティ対策内容について、先述の「テレワークセキュリティガイドライン第4版」でなされている分類に応じて解説します。
情報セキュリティ保全対策の大枠
情報セキュリティ保全対策の大枠については、経営者とシステム管理者、およびテレワーク勤務者それぞれが、立場に応じた対策を実施する必要があります。
経営者は先述した内容以外にも、テレワーク勤務者が情報セキュリティ対策の重要性を理解した上で作業を行うように、定期的な教育・啓発活動を実施させるよう働きかけたり、情報セキュリティ事故の発生に備えた連絡体制の整備と事故時の訓練実施の先導をすることなどが求められます。
これに対してシステム管理者は、システム全体を管理する重要な立場であることを自覚した上で、情報セキュリティポリシーに従ってテレワークのセキュリティ維持に関する技術的対策を講じ、定期的に実施状況を監査することが重要です。また、経営者の要請に応じて、テレワーク勤務者へ定期的に教育・啓発活動を実施するのも、システム管理者の役目となります。
テレワーク勤務者は、作業中に利用する情報資産の管理責任を自らが負うことをしっかり自覚し、情報セキュリティポリシーを遵守して、定期的な自己点検を実施するなどの能動的なアクションを取ることが必要です。
マルウェアへの対策
マルウェアなど、悪意のあるソフトウェアに感染すると、外部からパソコンに侵入されたり、データを読み取れなくなるなどの不具合が生じます。対策として、システム管理者はフィルタリングソフト等を用いてテレワーク勤務者が危険なサイトにアクセスしないように設定したり、貸与するテレワーク端末にウイルス対策ソフト等をインストールし、最新の定義ファイルが適用されているようにするなど、各種システムの対応が欠かせません。
またテレワーク勤務者は、例えば外部のアプリケーションをインストールする際にシステム管理者に申請し、ルールに定められた社用端末以外のハードウェア等で業務を行わないなどオペレーションレベルでの対応が求められます。
端末の紛失・盗難への対策
端末の紛失や盗難も、情報セキュリティとしては大きなリスクのひとつです。システム管理者は台帳等を整備し、貸与するテレワーク端末の所在や利用者情報を適切に管理する必要があるでしょう。
またテレワーク勤務者は、やむを得ず機密性の高い電子データを管理する場合には端末外にバックアップし、データのやりとりには暗号化を施すなど、電子データの窃取・紛失・盗難を通じた情報漏えいを防ぐ必要があります。
重要情報の盗聴への対策
取引先の情報や、BtoCビジネスを行う企業の場合はユーザーの個人情報など、重要情報の盗聴への対策は、テレワーク実施時においても不可欠な要素だと言えます。システム管理者は、テレワーク端末での無線LANの脆弱性対策が適切に講じられるようにするべきでしょう。
テレワーク勤務者は、機密性が求められる電子データを送信する際には必ず暗号化を実施し、第三者が立ち入る場所で作業を行う場合には、端末の画面にプライバシーフィルターを装着するなどして、意図しない情報の漏洩が起きないように十分注意しなければなりません。
不正アクセスへの対策
テレワーク実施においては、不正アクセス対策も重要です。
システム管理者は、社外からのアクセスに対して技術的基準を明確に定めた上で、アクセス方法を定め、適正に管理・運用する必要があるでしょう。具体的には、ファイアーウォール等を設置し、不正アクセスをいつでも遮断できる仕組みを整えるべきです。オフィス勤務を前提としたペリメータ・モデルのセキュリティではなく、分散型の働き方に適したゼロトラスト・モデルの検討も進めると良いでしょう。
◎ゼロトラストとは? クラウド普及で変わる新しいセキュリティ対策
またテレワーク勤務者は、社外から社内システムにアクセスする際は、ユーザー情報をブラウザに保存せず、第三者にわからない場所で適正に管理する必要があります。もちろん、その際にはシステム管理者が指定したアクセス方法のみを用いるようにしましょう。
外部サービス利用への対策
最後は、SNSをはじめとするデジタルプラットフォームなど、外部サービス利用に対する対策です。
システム管理者は、これら外部サービスを従業員が利用する際のルールやガイドラインを整備し、テレワーク時の利用上の留意事項を明示する必要があります。特に、Googleのようなパブリッククラウドベースのサービスを使用する場合は、情報漏洩に繋がらないように、利用方法を制限してルール化することも重要でしょう。
テレワーク勤務者は、上述のようなシステム管理者により設定されたルールをしっかりと理解し、その内容に準じた範囲内で外部サービスを使う必要があります。
「情報セキュリティ担当者」必見。テレワークセキュリティの手引き
ここまで見てきた通り、企業がテレワークを実施するためには、さまざまな留意点とアクションへのポイントがあります。
では具体的にどのように進めれば良いのか、情報セキュリティ担当として悩む方も多いでしょう。そんな方に向けて制作されたのが、総務省による「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)」です。
こちらの冊子は2部構成となっており、第1部では本記事で言及した各テレワーク方式の特徴や、チェックリストの必要性などを解説しています。また第2部では、具体的なチェックリストの提供や、チェックリストの対策を実施するための具体的な製品の設定方法などが解説されています。
情報セキュリティ担当者は特に必見の、テレワークセキュリティ指南書となっています。通常のセキュリティ対策に加え、テレワーク時のセキュリティ対策に足りない部分を洗い出し、効果が高く実施難易度の低い取り組みから対策を施しましょう。
適切な対策をバランスよく講じ、安全なテレワーク環境を整備しよう
以上、今回はテレワークのセキュリティ対策の重要性についてお伝えしました。悪意のあるソフトウェアや紛失・盗難、重要情報の盗聴、不正アクセスなど、テレワークを推進する上ではさまざまなリスクがあります。
一方で、テレワークは従業員の働き方に自由度をもたらし、生産性向上にも大きく寄与します。
適切な対策をバランスよく講じ、安全なテレワーク環境を整備して、企業としての競争力を高めていきましょう。