テレワーク導入には必須!テレワークセキュリティガイドラインとは何か?
- セキュリティガイドライン
- テレワーク
「テレワークセキュリティガイドライン」をご存知でしょうか?総務省が発表しているセキュリティ対策の指針であり、企業がテレワークを推進する上で参考とするべき内容です。
テレワークには様々なメリットがありますが、セキュリティ面における不安を払拭できず、導入に踏み切れない企業は数多く存在します。そのような場合、テレワークセキュリティガイドラインに沿ってセキュリティ対策を行うことで、安全な環境でテレワークを推進することが可能になります。
本記事では、テレワークセキュリティガイドラインについて、実際のガイドラインの内容をベースにわかりやすくポイントをまとめました。
目次
テレワークとは?
はじめに「テレワーク」という言葉について、正しく理解しておきましょう。
テレワークとは「 tele (離れた)」と「 work (働く)」という2つの英単語を組み合わせたものであり、時間や場所に依存しない柔軟な働き方を意味する言葉です。従来の日本企業では、オフィスに出社して働くスタイルが一般的でしたが、近年はテレワークが広く普及したことにより、働き方が多様化しています。
以下、テレワークの代表的な例をご紹介します。
| 種類 | 概要 |
|---|---|
| 在宅勤務 | 自宅で仕事する |
| モバイルワーク | 移動中の乗り物や喫茶店などで仕事する |
| サテライト・コワーキング | 企業のサテライトオフィスや一般的なコワーキングスペースで仕事する |
| ワーケーション | ビジネスとバケーションを兼ねて旅行先で仕事する |
このように、一口にテレワークと言ってもその形態は様々です。企業や個人を取り巻く環境によって最適な仕事環境は異なるため、現状を正しく把握した上で、自社に適したテレワーク環境を整備することが大切です。
テレワークに関して理解を深めたい方は以下の記事がオススメです。
働き方改革やテレワークで導入したいオススメなツールやシステムを10個を費用まで徹底解説!
テレワークのやり方をゼロから徹底解説!90%のことはオンラインで完結できる!
【テレワーク初心者必見】在宅でも生産性を上げるためにやるべきこと12選
ワーケーションに関して理解を深めたい方は以下の記事がオススメです。
ワーケーション導入ならGoogle Workspace(旧G Suite)がおすすめ!ニューノーマル時代の働き方改革を推進
テレワークセキュリティガイドラインとは?
総務省は2018年4月に「テレワークセキュリティガイドライン第4版」を公表しました。
オフィス以外の場所で働くテレワークは、社内と比較してセキュリティレベルが低下する傾向にあり、情報漏洩などのリスクが常に存在しているため、企業は正しいセキュリティ対策を確実に講じる必要があります。
このような背景から、総務省は企業がテレワークを実践する際の具体的なセキュリティ対策について、基本的な考え方や対策のポイントなどを「テレワークセキュリティガイドライン第4版」にまとめました。
テレワークにおけるセキュリティ対策は単純なものではなく、様々な要素を組み合わせながら多角的に検討しなければいけません。同ガイドラインでは、企業が行うべきセキュリティ対策が体型的に説明されています。
テレワークセキュリティガイドラインは、企業がテレワークのセキュリティ対策を考えるための基本指針となっており、多くの会社が同ガイドラインを参考にしてテレワークを実践しています。
次章以降はガイドラインの中身に触れながら、テレワーク時のセキュリティ対策において重要なポイントを解説していきます。
テレワークの方式
記事冒頭では「働く場所」に注目してテレワークの種類をご紹介しましたが、本章では技術的な側面にスポットを当て、テレワークの方式を順番にご説明します。
リモートデスクトップ方式
オフィスに設置された PC などのデスクトップ環境に社外からアクセスして業務を行う方式です。オフィスと同じ環境で仕事ができるため、テレワークでも普段と変わらずに作業を行うことが可能です。ただし、インターネット回線の速度が遅い場合、作業効率は低下します。
仮想デスクトップ方式
自社のサーバー上で提供されている仮想デスクトップ環境に社外からアクセスして業務を行う方式です。オフィスに端末を準備する必要はなく、仮想デスクトップ環境は管理者が一元的に管理することができます。パフォーマンスがインターネット回線の速度に影響される点は、リモートデスクトップ方式と同様です。
クラウド型アプリ方式
インターネット経由でクラウドアプリケーションにアクセスして業務を行う方式です。アプリケーションで作成したデータはクラウドおよびローカルの両者に保存可能なため、会社のデータが個人端末へ流出しないように留意する必要があります。
セキュアブラウザ方式
クラウド型アプリよりも安全性を高めたのがセキュアブラウザ方式です。特殊なインターネットブラウザを利用することで、ファイルダウンロードなどの機能を制限できるため、個人端末へのデータ流出を防ぐことが可能です。ただし、利用できるアプリケーションはセキュアブラウザ対応のサービスに限定されます。
アプリケーションラッピング方式
テレワークで利用する端末に「コンテナ」という独立した仮想環境を構築し、その中でテレワーク用のアプリケーションを動かす方式です。コンテナ内のアプリケーションからはローカル環境にアクセスできないため、情報漏洩の対策に繋がります。また、コンテナの中で動く OS やアプリケーションはローカル PC のものを利用するため、パフォーマンスがインターネット速度に依存しない点もメリットの一つであると言えます。
会社PCの持ち帰り方式
普段オフィスで利用している端末を社外に持ち出して業務を行う方式です。インターネット経由でオフィス環境にアクセスする場合は、セキュリティを高めるために Virtual Private Network ( VPN )の利用が前提になります。毎回オフィスから端末を持ち出す必要があるため、紛失リスクが大きな懸念点であり、テレワークで利用する端末にデータを保存することから、端末に対する厳格なセキュリティ対策が求められます。
セキュリティ対策で考慮すべき3つの要素
テレワークセキュリティガイドラインでは、情報セキュリティ対策における3つの要素を挙げており、「ルール」「人」「技術」のバランスを取って、セキュリティ対策を講じることが重要としています。
以下、それぞれの要素について詳しくご説明します。
ルール
テレワークでは社外の第三者がいる環境で業務を行うため、社員個人の判断で仕事を進めた場合、多くのリスクが発生します。万が一、情報漏洩が発生した場合は取り返しのつかない事態に発展します。
そのため、テレワークにおけるセキュリティの安全性を担保するためには、事前のルール設定が必要不可欠です。例えば、端末設定に関するルールやビデオ会議を行う際の環境、または情報の取り扱いに関する取り決めなど、あらゆる観点から社員が遵守すべき共通ルールを整備してください。
安全に業務を行うためのルールが整っていれば、テレワークにおけるリスクの大部分は回避することができます。セキュリティ面や社員の利便性など、多角的な要素を加味しながら慎重に検討しましょう。
人
情報セキュリティ対策における「人」とは、テレワーク環境で勤務する社員やシステム管理者を指しています。
いくらルールを整備しても、社員がそれを守らなければ意味がありません。そのため、社員一人一人に対して定期的に研修の場を設けるなど、情報セキュリティに対する意識を高めておく必要があります。
特にテレワークにおいては、上司や同僚から目の届かない場所で業務を行うことになり、会社のルールが守られているかどうかを確認するのは困難です。企業にとって、人の教育は避けることのできない経営課題だと言えるでしょう。
技術
テレワークにおけるリスクの中には、目に見えない脅威も存在します。代表的な例として、マルウェア(不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェア)などが挙げられます。
このように、「ルール」や「人」の対策だけでは回避できないリスクは、技術的なセキュリティ対策を講じる必要があります。「認証」「検知」「制御」「防御」などの機能を駆使して、セキュリティ上の脅威を排除するための仕組みを整えてください。
技術的なセキュリティ対策を行うためのサービスは多数存在するため、自社の要件や予算に応じて、最適なものを選択することが重要です。
セキュリティ対策における3つの立場
前章では、セキュリティ対策における「人」の考え方に触れましたが、一口に「人」とは言っても多くの立場があり、求められる役割はそれぞれ異なります。
以下、それぞれの立場についてポイントをご説明します。
経営者
経営者はテレワーク環境におけるルールづくりに積極的に関わる必要があります。
せっかくテレワークを導入したにも関わらず、重大なセキュリティ事故が発生してしまった場合は、多額の経済的損失を被るリスクがあります。さらに個人情報の漏洩にまで発展すれば、企業として再起不能な状況に追い込まれる可能性もゼロではありません。
経営者はこのようなテレワークにおけるセキュリティのリスクを十分に理解し、危機回避のためのセキュリティ対策をルールとして定めていくことが求められています。ルール整備以外にも IT 人材の確保やセキュリティ対策ツールの導入にかかる予算捻出も、経営者が率先して確保すべき事柄です。
システム管理者
システム管理者は自社の機密データを守るための運用・管理に努める必要があります。
企業が利用するシステムには、守らなければならない重要なデータが数多く存在しています。テレワーク環境においては、社外から社内システムにアクセスするシーンが増えるため、同時に第三者による不正侵入や不正アクセスのリスクも高まります。加えて、マルウェアやコンピュータウイルスなどの脅威も存在します。
このようなセキュリティリスクを回避するため、システム管理者は自社のシステム全体を管理する立場として、様々なセキュリティ対策の実施を求められています。
テレワーク勤務者
テレワーク勤務者は「テレワークに潜むリスク」を十分に理解し、情報セキュリティに対する意識を強めておくことが重要です。
例えば、怪しいメールが届いた場面を考えてみましょう。オフィスで勤務していれば、近くに座っている同僚に相談できますが、テレワーク環境では相談しにくいケースも存在します。そのため、個人の判断で動いてしまい、結果としてセキュリティ事故に繋がることもあります。
このような事態を回避するためには、テレワーク勤務者自身が情報セキュリティに対する危機意識を強く持ち、会社のルールを遵守しながら細心の注意を払って業務を遂行する必要があります。
テレワークにおけるセキュリティ対策の6つのポイント
テレワークセキュリティガイドラインでは、セキュリティ対策のポイントを以下の6つに分類しています。
- 情報セキュリティ保全対策
- マルウェアに対する対策
- 端末の紛失・盗難に対する対策
- 重要情報の盗聴に対する対策
- 不正アクセスに対する対策
- 外部サービスの利用に対する対策
以下、各項目ごとにそれぞれの立場で実施すべき、具体的なセキュリティ対策をまとめました。なお、経営者に関しては一つ目の「情報セキュリティ保全対策」のみが該当します。
情報セキュリティ保全対策
前述した通り、テレワークにおけるセキュリティレベルを高めるためには、情報セキュリティに関する保全対策の大枠を会社として定める必要があります。具体的には、以下の対策が挙げられます。
| 社内の立場 | 具体的な対策 |
|---|---|
| 経営者 | ・情報セキュリティポリシーの策定と定期監査を行う ・情報の重要度に応じたレベル分けと取り扱い方法を決定する ・全社員に対する情報セキュリティの教育を徹底する ・セキュリティ事故発生時の連絡体制を整備する ・テレワークのセキュリティ対策における予算を割り当てる |
| システム管理者 | ・セキュリティポリシーに沿った技術的対策を実施する ・データに対するアクセス制御や暗号化設定を行う ・テレワーク勤務者への定期的なセキュリティ教育や訓練を実施する |
| テレワーク勤務者 | ・セキュリティポリシーおよび社内ルールを遵守する ・セキュリティ研修や訓練へ積極的に参加する |
マルウェアに対する対策
マルウェアは、英単語の「 malice (悪意)」と「 software (ソフトウェア)」を組み合わせた造語であり、代表的なマルウェアとしては「ワーム」「トロイの木馬」「スパイウェア」などが存在します。
マルウェアが端末に侵入すると、機密情報の搾取やプログラム破壊を引き起こすリスクがあるため、テレワークにおいてはマルウェア対策が必要不可欠になります。具体的には、以下の対策が挙げられます。
| 社内の立場 | 具体的な対策 |
|---|---|
| 経営者 | - |
| システム管理者 | ・フィルタリングによる特定サイトへのアクセス制御を行う ・アプリケーションのインストール承認を行う ・ウイルス対策ソフトのインストールを実施する ・OS およびソフトウェアの定期的なアップデートを実行する ・私用端末をテレワーク利用する際のセキュリティチェックを行う ・社内データのバックアップを実施する ・迷惑メールや不審なメールを避けるための設定を行う |
| テレワーク勤務者 | ・業務に関係ない社外サイトへのアクセスは控える ・許可されていないアプリケーションはインストールしない ・テレワーク端末へのアプリインストールは安全性に十分留意する ・テレワーク端末に対してウイルス対策ソフトが動作していることを確認する ・定期的にテレワーク端末の OS やソフトウェアのバージョンを確認する ・業務利用する端末を不正に改造しない ・メールの添付ファイルやリンククリックに細心の注意を払う |
端末の紛失・盗難に対する対策
テレワーク時はオフィス以外の場所で働くため、端末自体の紛失や盗難に注意する必要があります。具体的には、以下の対策が挙げられます。
| 社内の立場 | 具体的な対策 |
|---|---|
| 経営者 | - |
| システム管理者 | ・台帳等を整備し、貸与するテレワーク端末の所在や利用者等を管理する |
| テレワーク勤務者 | ・オフィス外に情報資産を持ち出すとき、その原本を安全な場所に保存する ・機密データを管理する必要がないように業務方法を工夫する ・機密データを取り扱う場合は暗号化を徹底する ・データの入った記録媒体( USB メモリ等)は盗難に留意する |
重要情報の盗聴に対する対策
社外で作業を行う場合、重要情報が盗聴されるリスクがあり、重大なセキュリティ事故に直結する可能性もあります。そのような事態を回避するためには、以下の対策が有効です。
| 社内の立場 | 具体的な対策 |
|---|---|
| 経営者 | - |
| システム管理者 | ・テレワーク端末に対して、無線 LAN のセキュリティ対策を講じる |
| テレワーク勤務者 | ・機密データ送信時は暗号化を徹底する ・無線 LAN を利用する場合は安全性に十分に留意する ・第三者がいる場ではプライバシーフィルタなどで覗き見防止に努める |
不正アクセスに対する対策
不正アクセスとは、第三者が許可なくサーバーや社内システムに侵入する行為です。ホームページの改ざんやデータ搾取など様々なリスクがあるため、不正アクセス防止のために以下の対策を講じる必要があります。
| 社内の立場 | 具体的な対策 |
|---|---|
| 経営者 | - |
| システム管理者 | ・社内システムへのアクセス認証基準を定め、適正に管理・運用する ・インターネット経由で社内システムにアクセスする方法を定める ・社内システムとインターネットの境界線にファイアウォールやルータを設置する ・社内システムへのログインパスワードは強度の高いものだけを認めるようにする |
| テレワーク勤務者 | ・社内システムにアクセスするため認証情報(パスワード、 IC カード)を適正に管理する ・社内システムへのアクセス時はシステム管理者が定めた方法のみを使用する ・パスワードは他人に推測されにくいものを設定する |
外部サービスの利用に対する対策
外部サービスは数えきれないほどの種類が存在し、中にはセキュリティが弱いものも存在します。そのため、あらかじめ外部サービスの利用についてルールを設けておく必要があります。以下、具体的な対策になります。
| 社内の立場 | 具体的な対策 |
|---|---|
| 経営者 | - |
| システム管理者 | ・外部サービスの利用ルールやガイドラインを整備し、テレワーク利用時の留意事項も明記する ・情報漏洩リスクのある外部サービスの利用を禁止する |
| テレワーク勤務者 | ・社内の利用ルールやガイドラインに沿って外部サービスを利用する |
クラウドサービス利用時の注意点
テレワークセキュリティガイドラインでは、テレワークにおけるクラウドサービスの有用性も記載されています。
クラウドサービスとは、自社でサーバーやネットワークなどの設備を用意するのではなく、インターネットを経由してクラウド事業者のサーバーへアクセスし、サービスやアプリケーションを利用する方式です。
クラウドサービスは初期投資を抑えられるほか、柔軟なスケール(状況に応じて利用料を増減すること)が可能になるなど、企業にとって様々なメリットがあります。
また、クラウドサービスを利用することで、社外から社内システムへアクセスする際のセキュリティ対策を効率化することが可能です。本来、ファイアウォールをはじめとしたセキュリティ対策機器は自社で管理しますが、クラウドサービスの場合は機器の管理・運用をクラウド事業者に任せることができるため、自社の業務効率化や生産性向上に直結します。
このように、テレワークにおいて効果を発揮するクラウドサービスですが、一方でデメリットも存在します。クラウドサービスはインターネットからのアクセスを前提としているため、外部からの攻撃を受けやすい点には注意が必要です。
そして、各サービスごとのセキュリティレベルは契約するクラウド事業者や利用するサービスごとに異なるため、安全なテレワーク環境を整備するためには、信頼できるクラウド事業者を選択する必要があります。
具体的な会社の選び方は、以下の記事が参考になります。
クラウドインテグレーターとは何か?役割やメリット、会社の選び方まで徹底解説!
まとめ
本記事では、総務省が発表している「テレワークセキュリティガイドライン」について、実際のガイドラインの内容をベースにわかりやすくポイントをまとめました。
テレワークには様々なセキュリティリスクが眠っており、企業は様々な観点からセキュリティ対策を講じる必要があります。全社員が自身の立場・役割を理解し、協力しながらセキュリティの脅威に立ち向かわなければいけません。
また、テレワーク導入に伴い、クラウドサービスを利用する企業が増えていますが、安全なセキュリティ環境でクラウドサービスを運用するためには「どの企業と契約するか?」がとても大切な要素になります。
弊社トップゲートもクラウドインテグレーターとして、お客様にクラウドサービスを提供しています。よろしければ、まずはお問合せだけでもお気軽にご連絡ください。
本記事がセキュリティ対策を見直す契機となれば、とても嬉しく思います。
弊社トップゲートでは、Google Cloud (GCP) 利用料3%OFFや支払代行手数料無料、請求書払い可能などGoogle Cloud (GCP)をお得に便利に利用できます。さらに専門的な知見を活かし、
- Google Cloud (GCP)支払い代行
- システム構築からアプリケーション開発
- Google Cloud (GCP)運用サポート
- Google Cloud (GCP)に関する技術サポート、コンサルティング
など幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。
Google Workspace(旧G Suite)に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します!
Google Cloud (GCP)、またはGoogle Workspace(旧G Suite)の導入をご検討をされている方はお気軽にお問い合わせください。
メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud(GCP)、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!
