企業などが安心してテレワークを導入・活用するための指針として総務省はこれまで「テレワークセキュリティガイドライン」(以下、ガイドライン)を公表してきました。
2004年に初版が発行されてから2018年までに3回の内容の改定が行われ、第4版まで発行されていました。
そして2021年5月、第5版が新たに発行されました。
今回は具体的にどのような改定が行われたのかご紹介します。
そもそもガイドラインには何が書かれている?
掲載されている内容は大まかに分類すると以下の通りです。
- ガイドラインの目的や背景などの概要
- テレワークの考え方や方式などの説明
- テレワーク時のセキュリティ対策例
- 対策ごとのポイントやトラブル事例
つまりこのガイドラインを見ることで、「そもそもテレワークとはなんぞや」から「テレワークの具体的な取り組み」までを検討していくことができるということです。
テレワークの導入を検討している組織や、勢いでテレワークを導入したけどきちんとした仕組み作りができていないという組織などは知っておくべきガイドラインと言えるでしょう。
なぜ内容の改定が行われたの?
総務省は改定についての資料の中で以下の3点をポイントとして述べています。
- 一部の従業者が対象だったものがWeb会議などを含めて一般的な勤務形態となった
- クラウドサービスの普及やスマホの活用など、システム構成や利用形態が多様化した
- 標的型攻撃などの高度な攻撃が増えて、これまでのセキュリティ対策では十分対応できないケースが出てきた
簡単にまとめると、この3年間で働き方や社会を取り巻くIT環境が大きく変化し、従来考えていたテレワークの仕組みでは耐えきれない場所が発生してきたといえるでしょう。
また、2020年より猛威を振るっているコロナ禍による急遽のテレワーク対応もガイドラインの改定の検討に拍車をかけたといえるでしょう。
具体的には何が変わったの?
さまざまな箇所が変更しておりすべてを紹介することは難しいため、ポイントとなる箇所を何か所かピックアップしてご紹介します。
役割の具体化
テレワークに限ったことではありませんが、セキュリティ対策に積極的に取り組むためには組織でそれぞれ誰がどのような役割を担うのか明確にすることが大切です。
今回の改定では、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」という3つの観点から、それぞれどのような役割や責任を担っていくべきなのか明確化されています。
それぞれが担う役割が明確化されていることはもちろん、テレワーク勤務者などに対しては、こういうことを守ってくださいという指標として伝えるのにも有効ではないでしょうか。
クラウド活用やゼロトラストセキュリティに関する考え方の追加
この数年間でクラウドサービスの業務活用促進や、また、セキュリティ界ではサイバー攻撃の高度化に対応するために「ゼロトラストセキュリティ」という考え方が一般化してきました。(詳しくは『セキュリティ業界で話題の「ゼロトラスト」とは』をご覧ください)
今回のガイドラインではテレワークでもより注視するポイントとしてこの2つの項目についての解説が追加されています。
テレワーク方式の変化
一口にテレワークといっても様々な方法が存在しています。
そしてこのテレワーク手法については第4版でも6種類紹介されていたのですが、第5版では以下の7種類に増加しました。
- VPN方式
- リモートデスクトップ方式
- 仮想デスクトップ(VDI)方式
- セキュアコンテナ方式
- セキュアブラウザ方式
- クラウドサービス方式
- スタンドアロン方式
ガイドラインでは自組織にはどのようなテレワーク方式がおすすめか判断するためのフローチャートなども追加されており、テレワークを行うかどうかではなく、どの方法でテレワークを行うかということに重点が置かれていることも読み取れます。
セキュリティ対策の全面見直し
第4版で43項目だった対策方法が、第5版では倍増の98項目になりました。
事情としては、テレワーク利用の普及やサイバー攻撃の深刻化、IT技術の進歩や普及などが挙げられます。
例えばWeb会議システムやVPN機器の利用などはコロナ禍でテレワークを導入してから始めたという組織も多いのではないでしょうか。
そういったテレワークにおける業務活動の変更に対応できるよう多くの対策が追加されています。
事例の更新
ガイドラインにはテレワークに関連するトラブル事例なども掲載されていますが、3年間の間にも様々な事例が発生しているため、事例の内容自体が近年のものにアップデートされています。
今現在どのようなトラブルが発生しているのか知って対応していくためにもしっかりと理解しておきましょう。
まとめ
コロナ禍によって急遽テレワークを導入せざるを得なくなって実施しているという組織も少なくないと思います。
ただ一方で、テレワークでも意外と業務ができた、コスト削減につながった、などのメリットを感じた組織も多いのではないでしょうか。
テレワークは行えない、行わないという前提に立つのではなく、一度、自社ではどのようなテレワークであれば実施できそうか、実施することでのメリットはないかなど検討したうえで、いつでもテレワークに対応できる準備をしてみてはいかがでしょうか。
また弊社では法人向けテレワークルール構築コンサルティングなどのご支援も行っておりますので、興味がございましたらお気軽にお問合せ下さい。
参考資料
- 総務省「テレワークセキュリティガイドライン」