特集 情シス事情を知る
テレワークを支える最先端セキュリティを解説
総務省が「テレワークセキュリティガイドライン第4版」を公開
2018年7月
2018年4月に総務省は「テレワークセキュリティガイドライン第4版」を発行した。テレワークは新しい働き方を実現すべく多くの企業で導入が進んでいる制度の一つだが、一方で社外からの情報アクセスや業務上のコミュニケーションを支えるIT基盤のセキュリティに不安を持っている企業は少なくない。本ガイドラインは、そうした企業にとっての「入門書」となるものであり、参考とする意義は大きい。
テレワークは人事制度とセキュリティ対策の両輪で成り立つ
多くの企業で働き方改革が進む中で、在宅勤務を含めたテレワークを導入する企業が増えてきている。多様化する人材の柔軟かつバランスのとれた働き方を実現することは、労働者側のメリットのみならず、企業側にとっても優秀な人材の獲得と維持、新しいビジネスの創出、事業継続性の向上など競争力強化につながると考えられる。その意味からも新しい働き方の一つとしてテレワークのさらなる普及が期待されている。
だが、テレワークは人事制度の改訂だけで実現するわけではない。離れた場所にいても社内にいるのと同等の情報アクセスや業務上のコミュニケーションを可能とするIT環境を整えると共に、そこでの厳重なセキュリティを担保することではじめて成り立つものであることを、しっかり認識しておく必要がある。見切り発車的なテレワークの導入は、マルウェア感染やモバイル端末からの情報漏えい、社内システムへの不正アクセスなど、多大なリスクを招いてしまう恐れがあるのだ。
こうした企業の動向と課題を捉えて総務省は2018年4月、「テレワークセキュリティガイドライン第4版」を公開した。同ガイドラインは、企業や組織がテレワークを安全に導入できるようセキュリティ対策の指針を取りまとめたもので、2013年に公開された第3版から4年ぶりの改訂となる。
テレワークセキュリティガイドラインのセキュリティ対策は大きく3つのカテゴリに分けられており、今回の第4版でそれぞれ次のような項目が追加された。
経営者が実施すべき対策
|
・社内で扱う情報について、その重要度に応じたレベル分けを行った上で、テレワークでの利用可否と利用可の場合の取扱方法を定める ・テレワークにおける情報セキュリティ対策に適切な理解を示した上で、必要な人材・資源に必要な予算を割り当てる |
システム管理者が実施すべき対策
|
・情報のレベル分けに応じて、電子データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行う ・ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する ・テレワーク端末において無線LANの脆弱性対策が適切に講じられるようにする ・メッセージングアプリケーションを含むSNSに関する従業員向けの利用ルールやガイドラインを整備し、その中でテレワーク時の利用上の留意事項を明示する ・ファイル共有サービス等のパブリッククラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を禁止する |
テレワーク勤務者が実施すべき対策
|
・テレワークで扱う情報について、定められた情報のレベル分けとレベルに応じたルールに従って取り扱う ・無線LAN利用に伴うリスクを理解し、テレワークで利用する場合は確保すべきセキュリティレベルに応じた対策が可能な範囲で利用する ・メッセージングアプリケーションを含むSNSをテレワークで利用する場合、社内で定められたSNS利用ルールやガイドラインに従って利用するようにする ・テレワークでファイル共有サービス等のパブリッククラウドサービスを利用する場合、社内ルールで認められた範囲で利用する |
想定されるトラブル事例から具体的な対策を理解する
テレワークセキュリティガイドライン第4版では、実際に起こり得るセキュリティインシデントを想定し、その具体的な対策を示している。例えば次の様なトラブル事例が紹介されている。
(事例1)クラウド利用によるインシデント例
| 状況 | あるプロジェクトでパブリッククラウド上に業務ファイルを保存し、外部委託先を含めた関係者で共有していた | |
| 原因 | 設定ミスでアクセス制御がかかっておらず、誰でもアクセスできる状態になっていた | |
| トラブル | 競合他社に先駆けるメリットが失われてしまい、プロジェクトの中止に至った | |
| 対策 | テレワーク 勤務者向け | ・セキュリティを重視している事業者が提供するクラウドサービスを利用 ・重要な情報を保存する用途に利用する前に、アクセスを許可していないIDではアクセスできないようになっていることを確認 |
| システム 管理者向け | ・アクセス可能なアクセス元IPアドレスまたはドメインを制限 ・クラウドサービスへのアクセスに用いるIDとパスワード、電子証明書等を厳正に管理 ・あらかじめファイルを暗号化した上でクラウド上に移送するなど、多重の安全対策を講じる | |
(事例2)外出先での無線LAN利用によるインシデント例
| 状況 | 暗号化されていない公衆無線LAN(フリーWi-Fiスポット)を使用した | |
| 原因 | パスワードが設定されておらず暗号化もされていない公衆無線LANでは、他者に通信内容を傍受される恐れがある。また、仮に暗号化されていたとしてもパスワードが公然と知られているホテルやカフェなどでは、同一のSSIDを設定した偽アクセスポイントを設定した“なりすまし”の危険性もある | |
| トラブル | 公衆無線LAN を使って電子メールを送信したところ、社外秘の添付ファイルが競合企業に流出してしまった | |
| 対策 | テレワーク 勤務者向け | 公衆無線LANの利用は避ける。利用せざるを得ない場合も、ブラウザから"https:"で接続するウェブサービスのみに利用を限定する |
| システム 管理者向け | 社内のサーバとテレワーク端末の間の通信をVPNで暗号化する | |
(事例3)SNS利用によるインシデント例
| 状況 | テレワーク中に勤務先とSNS上でやり取りをしていた | |
| 原因 | 勤務先からの質問への回答をSNS上の業務用グループに書き込んだつもりが、趣味の話題で盛り上がっていた公開グループに書き込んでしまった | |
| トラブル | 数時間後、外部からの指摘で初めて気付いて削除。だが、書き込んだ内容の関係者への謝罪に回る羽目になり、それから3日間仕事にならなかった | |
| 対策 | テレワーク 勤務者向け | SNSへの書き込みを行う場合、公開範囲に細心の注意を払う |
| システム 管理者向け | ・業務目的でのSNS利用を禁止する ・SNSの業務利用に関するガイドラインを定め、テレワーク勤務者に遵守させる ・SNSに投稿された内容に自社に関するものがないか、定期的に監視する | |
(事例4)ノートPC持ち出しによるインシデント例
| 状況 | 社内で普段使っているノートPCを社外に持ち出しテレワークを実施 | |
| 原因 | 海外のWebサイト(情報のまとめサイト)を閲覧しランサムウェアに感染 | |
| トラブル | 画面がロックされてしまい、作業をストップせざるをえなくなり納期遅延が発生 | |
| 対策 | テレワーク 勤務者向け | ・テレワーク端末へのウイルス、マルウェアの対策ソフトウェアの導入 ・OSやアプリケーションのアップデート ・危険なウェブサイトなどへのアクセスを禁止するフィルタリングソフトの導入 |
| システム 管理者向け | サーバ用ウイルス対策ソフトの導入 | |
(事例5)端末紛失によるインシデント例
| 状況 | ローカルディスクに取引実績を含む得意先リストを収納した端末を持ち出した | |
| 原因 | 移動中の電車内にカバンごと置き忘れた | |
| トラブル | 数カ月後、得意先から「御社にしか知らせていない電話番号にセールスの電話が来る」との苦情があり、営業担当者全員で謝罪に奔走 | |
| 対策 | システム 管理者向け | ・端末内に情報を保持しない端末を用意し、テレワーク勤務者に使ってもらう ・「リモートデスクトップ方式(※1)」「仮想デスクトップ方式(※2)」「クラウド型アプリ方式(※3)」の推奨 ・電波が届かない場所での端末利用を想定した対策として、ハードディスクや SSD内の業務情報の暗号化や携帯端末などでのリモートワイプ機能の活用を推奨 |
- ※1:PCなどの端末のデスクトップ環境を、テレワーク端末から遠隔操作したり閲覧したりする方法
- ※2:サーバ上で提供される仮想デスクトップ基盤に、PC端末などから遠隔でログインして利用する方法
- ※3:オフィスかテレワーク環境を問わず、インターネットからクラウドサーバ上で提供されるアプリケーションにアクセスして作業を行う方法
デジタル化の進展によってビジネス環境は急速に変化している。加えて我が国では生産年齢人口の減少に伴う人手不足が顕在化し始めた。そうした中で働き手も「どの会社で働いているか」ではなく、「そこで何をするか」「どんな経験を得られるか」「自分のどんな能力を活かせるか」により大きな意味を感じるようになった。この価値観の変化をしっかり捉えていかないと、優秀な人材に見向きもされない時代を迎えているといって過言ではない。
新たな価値観に応えていく企業文化を醸成し、多様性をもった人材のエンゲージメントを高め、イノベーションを促進していくための施策として、働き方改革が求められているのである。この目標をしっかり見定めた上でテレワークを導入しようという企業にとって、本ガイドラインは非常に役立つ内容となっているので、ぜひ参考にしてセキュリティ対策を講じてほしい。