新型コロナウィルスの感染防止対策として、テレワークを導入している企業が増えています。テレワークは場所を問わず、働くことができるというメリットがある一方で、情報セキュリティの面のリスクも存在します。情報セキュリティ対策は、システム管理者は当然のことながら、経営層・従業員でも取り組むべき対策があります。また、内部監査部門では、経営層・システム管理者・従業員のそれぞれ役割を踏まえ、ルールの整備・運用ができているかを確認するべきです。
そういった中、テレワークのセキュリティ対策を進める企業向けに、総務省から「テレワークセキュリティガイドライン」が公表されています。こちらのガイドラインは、テレワークにおけるセキュリティ対策の考え方やポイントを取りまとめたものです。今回の記事では、「テレワークセキュリティガイドライン」について解説します。テレワークセキュリティにおける経営層・システム管理者・従業員の役割を把握していただくとともに、セキュリティ対策を踏まえた内部監査のポイントを理解していただきたいと思います。
目次
テレワーク下における情報セキュリティリスク
まず、テレワークにおける情報セキュリティのリスクを考えていきたいと思います。多くの企業において、情報資産は企業内(クラウド環境等を含め)で管理されています。しかし、テレワーク下においては、社内のIT環境に加え、自宅におけるIT環境の管理も必要になります。サイバー攻撃の対策が講じられているオフィスとは異なり、テレワーク環境は脅威にさらされやすいといえます。テレワークにおける情報セキュリティの脅威として、以下のようなものがあります。
脅威①マルウェア
(マルウェア感染に関するトラブル事例)
貸与PCを社外に持ち出し、テレワークを行っていた。業務上必要な情報収集を行うため、海外のウェブサイトを閲覧したところ、そのサイトを通じて、ウィルスに感染してしまった。
脅威②端末の紛失・盗難
(端末の紛失・盗難に関するトラブル事例)
得意先リストを収納したPCを移動中の電車内に置き忘れた。数ヵ月後、得意先から「御社にしか知らせていない電話番号にセールスの電話が来る」との苦情が寄せられるようになり、営業担当者全員で謝罪に奔走することになった。
脅威③不正アクセス
(不正アクセスに関するトラブル事例)
パスワードが設定されていない公衆無線LAN を使って電子メールの送受信を行っていたところ、通信情報が傍受され、添付していたファイルに記載されていた秘密情報が競合企業に知られてしまっていた。
上記のような脅威により、情報漏洩や重要情報の消失、業務の停止といった損害を受けることになります。情報セキュリティのトラブルによって、企業イメージの低下にもつながります。
テレワークにおける情報セキュリティ対策の考え方
次に、テレワークにおける情報セキュリティ対策の考え方を解説します。企業が効率的に情報セキュリティ対策を行うためには、体系的に対策を講じることが重要です。体系的な対策とは、「ルール」「人」「技術」の観点から対策を検討することです。
ルール:オフィスとは異なる環境で仕事を行うことになるため、テレワーク向けのルールを定める必要があります。情報セキュリティの面で都度必要な対策を講じていくのは効率的ではありません。仕事のやり方をルールとして定めておき、従業員はルールを守ることだけを意識させるべきです。
人:ルールを定めても、それが守られなければルールによる効果が発揮されることはありません。ルールを定着させるため、教育研修を通じて、ルールの趣旨を理解させ、遵守することにメリットがあることを自覚してもらう必要があります。
技術:技術的対策は「ルール」「人」では対応できない部分を補完するものです。様々な脅威に対し、「認証」「検知」「制御」「防御」を自動的に実施するものであり、テレワークの環境を踏まえ、対策を講じる必要があります。
セキュリティ対策には、「最も弱いところが全体のセキュリティレベルになる」という特徴があります。一つの対策をいくら強化してもセキュリティレベルの向上にはつながらず、「ルール」「人」「技術」のバランスの取れた対策が講じることが必要です。
テレワーク情報セキュリティ対策のポイント~経営者が実施すべき対策~
テレワークにおける情報セキュリティ対策を進めるにあたっては、経営者・システム管理者・テレワーク勤務者のそれぞれの立場から検討・推進する必要があります。まずは、経営者の役割と実施すべき対策を見ていきます。
企業を取り巻くサイバー攻撃への脅威が増す一方、多くの企業が十分な対策を取れているとは言いがたい状況です。こうした原因の一つに、セキュリティ対策に対して経営者が十分なリーダーシップを発揮していないことが挙げられています。経営者は「ルール」を作る立場にあり、「マルウェア」「端末の紛失・盗難」「重要資産の盗難」「不正アクセス」等の脅威を網羅するルール作りを積極的に推進するべきです。また、実施すべきセキュリティ対策を定め、その導入・運用に必要な人材・費用を確保することも必要です。
次に、経営者が実施すべきテレワーク情報セキュリティ対策を挙げていきます。
・テレワークの実施を考慮した情報セキュリティポリシーを定め、定期的に見直しを行う
・テレワーク利用の可否と利用可の場合の取扱方法を定める
・テレワーク実施者に情報セキュリティの重要性を理解させるため、教育・啓蒙活動を実施させる
・事故の発生に備えて、迅速な対応が取れるように、連絡体制を整備するとともに、訓練を実施させる
・テレワークにおける情報セキュリティ対策に必要な人材・資源に必要な予算を割り当てる
経営者は、セキュリティリスクを認識し、ルール作りを推進することが求められます。また、セキュリティ対策を実行するため、リーダーシップを発揮し、教育や啓蒙・訓練の実行を指示する必要があります。内部監査の視点としては、テレワークにおける情報セキュリティのルールが策定され、周知されているかを確認します。
テレワーク情報セキュリティ対策のポイント~システム管理者が実施すべき対策~
次に、テレワーク情報セキュリティ対策におけるシステム管理者の役割と実施すべき対策を見ていきます。システム管理者は、経営者の指示の下、ルールの検討や技術的対策を講じる役割を担います。システム管理者は、それぞれの脅威に対し以下のような対策を実施していきます。
(マルウェア)
・フィルタリング等を用いて、テレワーク勤務者が危険なサイトにアクセスしないように設定する
・私用端末をテレワークに利用させる際は、その端末に必要な情報セキュリティ対策が施されているかを確認する
・OSやブラウザのアップデートが未実施の状態でウェブサイトにアクセスさせない
・テレワーク勤務者がPCにアプリケーションをインストールする際は申請をさせ、情報セキュリティ上問題無いことを確認のうえ、インストールを許可する
(端末の紛失・盗難)
・管理台帳等を整備し、貸与する端末の所在や利用者を管理する
(不正アクセス)
・社外から社内システムへアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用する
・インターネット経由で社内システムにアクセスする際のアクセス方法を定める
・社内システムへのアクセス用のパスワードとして、強度の低いものを用いることができないように設定する
通常のセキュリティ対策とも重複する点はありますが、テレワークにおけるIT環境を踏まえ、対策の検討・実施を進めていく必要があります。ITに係るリスクは、常に変化していくため、監視活動を継続し、ルールの検討・アクセス設定等の対策を実施していきます。内部監査の視点としては、策定されたテレワークにおける情報セキュリティのルールに基づき、技術的対策が講じられているかを確認します。
テレワーク情報セキュリティ対策のポイント~テレワーク勤務者が実施すべき対策~
最後に、テレワーク情報セキュリティ対策におけるテレワーク勤務者の役割と実施すべき対策を見ていきます。オフィスにいれば、情報セキュリティに関する相談をすぐにできましたが、テレワークの場合、相談しづらいケースもあります。また、テレワーク端末は、オフィス内の端末と比べると、システム管理者が自ら管理のための操作を行うことが難しいことから、テレワーク勤務者は、自身で管理することの重要性を自覚したうえで、実施すべき対策を理解することが望まれます。テレワーク勤務者は、それぞれの脅威に対し以下のような対策を実施していきます。
(マルウェア)
・OSやブラウザのアップデートが未実施の状態で社外のウェブサイトにはアクセスしない
・アプリケーションをインストールする際は、システム管理者に申請し、許可を受けたアプリケーションのみをインストールする
・ルールに定められた端末を使用し、スマートフォン、タブレット等に関しては不正な改造を施さない
・マルウェアに感染した場合、その報告漏れや遅れが被害拡大につながる恐れがあることを自覚する
(端末の紛失・盗難)
・オフィス外に情報資産を持ち出すとき、バックアップとして、元データをオフィス内の安全な場所(ファイルサーバ等)に保存しておく
・機密性が求められる電子データを持ち出す際は、必ず暗号化して保存する
(不正アクセス)
・社外から社内システムにアクセスするための利用者認証情報(パスワード、ICカード等)を適正に管理する
・インターネット経由で社内システムにアクセスする際、システム管理者が指定したアクセス方法のみを用いる
テレワーク勤務者は、テレワークにおけるセキュリティリスクを理解し、ルールに沿って業務を実行するべきです。従業員の不注意によるセキュリティ事故も多く発生しています。事故により、企業全体に損害をもたらすことを認識し、業務を行うことが重要です。内部監査の視点としては、PCの設定状況等を閲覧しながら、ルールに沿って運用されているかを確認します。
まとめ
新型コロナウィルス対策だけでなく、BCP対策としてもテレワークの活用が考えられ、テレワークを導入する企業が増えることも想定されています。テレワーク下におけるIT環境を踏まえたルールを作成し、セキュリティ事故が発生しないように周知することがポイントです。また、ルールが周知・運用されているかを監査することも重要なセキュリティ対策になります。
■テレワーク下における情報セキュリティリスク
☑セキュリティ攻撃の対策が講じられているオフィスとは異なり、テレワーク環境は脅威にさらされやすい。
☑テレワーク下における情報セキュリティリスクとして、「マルウェア」「端末の紛失・盗難」「不正アクセス」等がある。
■テレワークにおける情報セキュリティ対策の考え方
☑「ルール」「人」「技術」の観点から対策を検討する。
☑「ルール」「人」「技術」のバランスの取れた対策が講じる。
■テレワーク情報セキュリティ対策のポイント~経営者が実施すべき対策~
☑セキュリティ対策のルール作りを積極的に推進する。
☑リーダーシップを発揮し、教育や啓蒙・訓練の実行を指示する。
■テレワーク情報セキュリティ対策のポイント~システム管理者が実施すべき対策~
☑セキュリティ対策ルールの検討や技術的対策を講じる。
☑IT技術に係るリスクは、常に変化していくため、監視活動を継続する。
■テレワーク情報セキュリティ対策のポイント~テレワーク勤務者が実施すべき対策~
☑自身で管理することの重要性を自覚したうえで、実施すべき対策を理解する。
☑テレワークにおけるセキュリティリスクを理解し、ルールに沿って業務を実行する。