テレワーク勤務の制度化にあたり、専用のセキュリティルールの整備が必要になってきます。どこから手をつけたらいいか悩んでいる方のために、テレワークのセキュリティルール策定のヒントをお伝えします。
また、テレワークの際に必須ともいうべき基本的なセキュリティ対策をひとつの資料にまとめております。どれも今すぐにご対応いただける内容となっておりますので、まずは無料でダウンロードしてご確認ください。
今すぐに対応できる対策9選!
テレワークのセキュリティルールの考え方
テレワークのセキュリティルールの考え方として、政府の『テレワークセキュリティガイドライン』が参考になります。この冊子にはテレワークにおけるセキュリティ対策の考え方や対策例が詳しく示されています。
このガイドラインでは、テレワークのセキュリティ対策の主な検討事項として以下をあげています。
- 「ルール」「人」「技術」
- 「経営者」「セキュリティ管理者」「テレワーク勤務者」
ルールの策定と遵守、その補完として技術があり、セキュリティレベルを高くするにはこの3つをバランスよく対策すること、さらに組織の立場に応じた役割を担うべきと解説しています。立場に応じた役割として、「経営者:方針提示」「セキュリティ管理者:方針の具体化」「勤務者:ルール遵守」を提示しています。セキュリティルールの考え方だけでなく、対策項目のたたき台と詳細な説明があり、すぐにルールの検討に入りやすくなっています。
なお、人的リソースや時間に余裕のない企業には、最低限の対策を示した『テレワークセキュリティの手引き(チェックリスト)』も提供されています。災害時など緊急性がある場合に活用することも可能です。
さらに、この記事では別の方向性を加味し、テレワークの3つの要所である「ネットワーク」「場所」「端末」から見たセキュリティルール策定の考え方を後述します。
テレワークのセキュリティルールを策定する前に
政府のテレワークセキュリティガイドラインでも触れられていますが、まずは上位規範というべき「セキュリティポリシー(基本方針)」を定めなくてはなりません。なお、セキュリティポリシーは定期的に評価や見直しが必要なことに注意しましょう。
さらに、ISMSなどの情報セキュリティ規格を意識し、次を実施してもいいでしょう。
- リスクアセスメントによる情報資産管理のレベル分け
- 以下の定期的な実施
- テレワークのセキュリティに関する教育研修
- セキュリティ事故発生時の訓練
次に、テレワークの3つのセキュリティポイントから見るセキュリティルールの考え方をお伝えします。
テレワークのセキュリティルール:ネットワーク編
テレワークのネットワークに関するセキュリティルールは、Wi-Fi貸与の有無の観点で検討ができます。
会社によるWi-Fi貸与あり
テレワーク従事者にWi-Fiを貸与する場合、ネットワークに関するテレワーク専用のルールやセキュリティ対策を考える必要性はありません。
なぜなら、会社貸与のWi-Fiのネットワークは会社で管理できるため、規定のセキュリティレベルを満たすネットワークが使えるためです。
会社のWi-Fi以外の回線利用を排除するため、「テレワーク時の回線は会社貸与のWi-Fiに限る」と明文化するのも有効です。この場合、利用回線の指定に加え、テレワークのもう一つのセキュリティポイントである「場所」を重点的に検討すべきです。
Wi-Fiの貸与制度なし
テレワーク用の回線の貸与がなければ、従業員は自宅のインターネット回線か、公衆Wi-Fiを利用してテレワークを行うことになるでしょう。
使用するネットワークを会社が管理できないために生じるリスクを把握したうえで、適切なセキュリティルールを策定するのが望ましいです。回線接続に関して検討したいルールの例に、次のようなものがあります。
- 暗号強度がWPA2以上のWi-Fiのみを使用
- 従業員の自宅Wi-Fiの設定
- SSIDのステルス化
- 推察されにくいSSID名に変更
- 強度の高いパスワード(複数の文字種の指定など)
- 公衆Wi-Fiの業務利用の禁止
テレワークのセキュリティルール:場所編
ネットワーク接続以外にも、物理的な環境が情報セキュリティリスクを引き起こすことがあります。したがって、テレワークが認められる場所も明文化しましょう。
特に場所を制限せず、どこでもテレワークを可能とするならば、それにともなうリスクを洗い出し把握しておくことが大切です。さらに、のぞき見や端末の紛失など、物理的もしくは財産的な対策により種々のリスクに備えましょう。
以下はテレワークが認められる場所のルール設定の例です。
- テレワーク可能な場所の制限なし(どこでもOK)
- テレワークを予定する場所の事前通知または申請の義務づけ
- のぞき見や第三者がアクセス不能な閉鎖空間
- 自宅のみに限定
- 自宅かコワーキングスペースのみ
テレワーク可能な場所の線引きは、リスク代替手段がどこまで可能かにもよってくるでしょう。
テレワークのセキュリティルール:端末編
テレワークでの事務作業には、PCやスマートフォンなどの通信端末が欠かせません。ここでは物理端末の管理だけでなく、端末から社内システムにアクセスする際のルールも含みます。
テレワーク用端末に関する一般的なセキュリティルールの例は以下になります。
- 使用端末は原則台帳で管理、所在と利用者を把握する
- 社外からの社内システムのアクセスには何らかの利用者認証を用いる
- 脆弱な認証パスワードを介した社内システムのアクセスを不可とする
- クラウドサービスの利用は申請制にする
- 原則、外付けのUSB端末(ハードディスク等)の新規接続を不可とする
- 機密データは暗号化して送信する
さらに、テレワーク端末のルールを考える視点として「貸与端末」「私物端末(BYOD)」の2つがあります。
貸与端末のみを許可
テレワーク端末は会社で用意する場合、利用端末に関するルールを新設する必要はほぼありません。現行ルールに準じて運用すればそれで事足ります。
むしろ、のぞき見や公衆Wi-Fiのアクセスなど、情報漏えいリスクの観点でのルール強化や明文化に重点を置くことをおすすめします。
私物端末の業務利用を許可
私物端末の業務利用(BYOD)を許可する場合、会社が直接端末を管理できず、設定の一律適用も困難です。個々の従業員のプライベートにおける利用状況はまちまちで、リスクの受けやすさも一概にいえません。
テレワーク用のBYODのルールは、こういったBYOD特有のリスクを洗い出したうえで決定することが求められます。
以下に、BYODのテレワーク利用を認める場合のルールの例をあげます。
- 業務利用する私物端末の申請制
- 会社指定のアプリのみ利用可
- 詳細なBYODルールの策定
- 会社の貸与端末と同様のルールの遵守
- ウイルス対策ソフト導入の義務づけ
- 他人(家族等)との共有端末の使用禁止
- フィルタリング設定を実施、危険なサイトにアクセスさせない
- 業務利用するアプリの申請制
- 端末に保存したデータの定期バックアップ
こういったルールをどこまで適用すべきかは、各企業の端末利用状況によってだいぶ変わります。
たとえば、従業員の大半が貸与端末をテレワークに使用し、BYODが例外措置ならば、ルールをあまり細かく設定する必要はないでしょう。一方、BYODが社内で主流だった場合、リスクをあらかじめ把握してルールを策定し、テレワークする上で負担にならないよう線引きをする必要があります。
まとめ
安全なテレワークのため、専用のセキュリティルールの制定が望まれます。国のガイドラインを参考にしたり、テレワークのセキュリティポイントである「回線接続」「場所」「端末」を意識して検討するとよいでしょう。ルール制定だけでなく、慣れない環境下でも従業員が助け合える環境や雰囲気も効果的です。
また、弊社LRMでは、企業のテレワークにおけるセキュリティルール構築コンサルティングを行っております。テレワークセキュリティに纏わるあらゆるお悩みに対応いたします。まずは無料でご相談ください。
テレワークを実施するにあたってマストのセキュリティ対策をまとめた資料もぜひ無料でダウンロードして、本記事と併せてご活用いただけますと幸いです。
