働き方改革や新型コロナウイルスの影響で、政府はテレワークの導入を推奨しています。
2021年5月には、総務省から「テレワークセキュリティガイドライン第5版」が公開されました。
今回は、このガイドラインの「第2章 テレワークにおいて検討すべきこと」の内容を、わかりやすく解説します。テレワークの導入を検討している場合は、参考にしてください。
第3章、第4章と5章については、以下で解説しています。
本記事のサマリ
総務省「テレワークセキュリティガイドライン 第5版」の第2章についてわかりやすく解説- テレワーク導入時には、バランスの取れた対策と立場ごとの役割を意識することが大切
- クラウドサービスをうまく活用してテレワーク導入を進めよう
目次テレワークセキュリティガイドラインとは
テレワークセキュリティガイドラインは、テレワークにおけるセキュリティ確保についての取り組みとして、総務省が策定・公表しているガイドラインです。
企業がテレワークを安心して導入・活用できるように、セキュリティの観点で注意すべきことや検討すべきことが記されています。
初版が公開されたのは2004年ですが、その後改訂を重ね、2021年5月31日に第5版が公開されました。以降では、この第5版の内容を解説しています。
テレワークで必要なバランスの取れたセキュリティ対策とは
従来のオフィス勤務とテレワークでは環境が大きく変わるため、必要なセキュリティ対策も異なります。
テレワークでは、業務資料をインターネット上でやりとりしたり、機密情報が保存された端末を持ち歩いたりするケースが発生します。そのため、オフィス勤務以上にセキュリティに注意する必要があります。
本ガイドラインでは、「ルール」「人」「技術」のバランスが取れたセキュリティ対策が必要とされています。テレワーク時のセキュリティ対策において、この3つのどれかが欠けていると、そこがリスクになります。
例えば、厳格なルールを設定して最新のセキュリティ技術を採用していたとしても、従業員のセキュリティリテラシーが低いと情報漏えいが発生してしまう可能性があります。これはオフィス勤務時にも当てはまることですが、テレワークでは他の人の目が届きにくいため、特に「人」に関するセキュリティ対策は重要です。
テレワーク導入時にはルールの策定やセキュリティツールの導入などに重きを置きがちですが、「ルール」「人」「技術」のバランスを意識した対策を実施しましょう。
セキュリティ対策を進める際に把握するべき立場ごとの役割
テレワーク導入・実施時には、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」という3つの立場があります。それぞれの立場の役割を認識し、対策を実施しなければなりません。
ここでは、それぞれの立場において求められる役割について解説します。
経営者
経営者は、組織としてのあるべき姿を検討し、システム・セキュリティ管理者やテレワーク勤務者へ指示を出す役割を担っています。具体的には、以下のような対応が必要です。
- ・セキュリティに関する脅威と事業への影響の把握
- ・セキュリティ対策に必要な予算の確保と体制構築
- ・セキュリティリスクへの対応方針や規程などの策定と継続的な見直し
- ・セキュリティ研修の実施と受講の呼びかけ
経営者が方針を決定して指示を行わなければ、現場が混乱します。
また、予算や人員の確保は経営者でなければ行えません。企業全体としての方針を決定し、必要な資源を確保することが経営者の役割です。
システム・セキュリティ管理者
システム・セキュリティ管理者は、経営者が示した指針を元に具体的なセキュリティルールの整備や対策の実施を行います。主に、以下のような対応が求められます。
- ・テレワークを考慮したセキュリティ対策の実施や規程の見直し
- ・セキュリティ研修の実施
- ・インシデント発生に備えた準備と対応
- ・最新のセキュリティ脅威の把握
これらの対策に加え、テレワーク端末の管理やテレワーク勤務者からの連絡窓口の設置なども必要です。
安全にテレワークを実施するには、システム・セキュリティ管理者が担う具体的な対策の実施が不可欠です。
テレワーク勤務者
テレワーク勤務者は、経営者やシステム・セキュリティ管理者が策定したセキュリティルールを理解し、これを遵守しなければなりません。具体的には、以下の対応が必要とされます。
- ・規程やルールの理解と遵守
- ・テレワーク端末やID、パスワードなどの適切な取り扱い
- ・セキュリティ研修への参加
- ・インシデント発生時の迅速な報告
先述のとおり、「ルール」「技術」の対応が万全でも「人」の不注意や認識不足によってセキュリティインシデントが発生する恐れがあります。
マルウェア感染や端末紛失などのインシデント発生時には、すぐに然るべき窓口へ連絡できるよう、連絡経路の把握もしておきましょう。
テレワークはクラウドサービスの活用がおすすめ
テレワーク導入企業では、クラウドサービスを活用しているケースが少なくありません。
クラウドサービスとは、インターネット経由で提供されるサービスのことで、必要なときに必要な機能を利用できます。
ここでは、テレワーク実施時にクラウドサービスを利用するメリットや、注意点について解説します。
クラウドサービスの種類
クラウドサービスは、大きく以下の3つに分類されます。
- ・SaaS(Software as a Service):メールやファイル共有などのソフトウェアを提供する
- ・PaaS(Platform as a Service):開発のためのプラットフォームを提供する
- ・IaaS(Infrastructure as a Service):サーバーやストレージなどのハードウェアを提供する
テレワークでは、主にSaaSが活用されています。SaaSで提供される代表的なサービスは、メール、チャット、オンライン会議、クラウドストレージなどです。
SaaSを使えば、必要な機能をインターネット経由ですぐに利用できます。
SaaSの特徴は、機能が揃った状態でサービスが提供される点です。そのため、既存システムを社外からインターネット経由で利用できるよう改修するよりも、手間やコストを抑えてテレワークに対応できます。
クラウドサービスを利用するメリット
クラウドサービスを導入する企業が増えているのは、多くのメリットがあるためです。主なメリットは、以下の4つです。
- ・セキュリティ管理の負荷を軽減できる
- ・迅速に導入できる
- ・システムの拡張やスケールダウンが容易
- ・運用コストを下げられる
ここでは、それぞれのメリットについて詳しく解説します。
セキュリティ管理の負荷を軽減できる
自社でシステムを開発する場合、施錠などの物理的なセキュリティ対策や、OSアップデートなどソフトウェアの脆弱性管理などが必要です。
一方、クラウドサービスの場合はサービス提供側がセキュリティ管理を行うため、利用者側の管理負荷が軽減できます。
特にSaaSの場合は、IaaSやPaaSに比べて利用者が管理する範囲が狭いため、システム・セキュリティ管理者の負荷が大幅に減らせる点がメリットです。
迅速に導入できる
クラウドサービスのメリットとして、迅速に導入できるという点も挙げられます。
SaaSの場合は、ソフトウェアをインターネット経由で利用できるため、システムを開発する必要はありません。サーバーなどのハードウェアを調達する必要もなく、オンプレミス環境にシステムを構築するよりも導入にかかる時間や手間を削減できます。
そのため、なるべく早くテレワーク対応を進めたいというケースにも、SaaSが適しています。
システムの拡張やスケールダウンが容易
クラウドサービスは、利用するサービスの拡張やスケールダウンが柔軟に行えるのもメリットです。
「はじめは一部の従業員だけ利用して、テレワークが軌道に乗ったら利用者を増やす」といった対応もできます。
逆に、サービスによっては「お試しで1ヶ月だけ利用して、自社の業務形態に合わなければ解約する」という方法もあります。
自社開発の場合は最初に必要なスケールなどを決めてハードウェアの調達を行う必要があるため、このような柔軟性を持たせるのは難しいでしょう。
運用コストを下げられる
クラウドサービスは、サービス提供側が運用を行います。
そのため、運用にかかる手間やコストを下げられるというメリットもあります。
オンプレミス環境のシステムは、サーバーのハードウェアや保守費用、ソフトウェアのライセンス費用、電気代などが発生しますが、クラウドサービスの場合はこれらの費用を大幅に削減できます。
自社でシステムを運用するよりも、クラウドサービスの利用料の方が一般的に割安になります。自社システムの運用にかかっていた人員を他の業務に割り当てられる点もメリットです。
クラウドサービス利用の注意点
クラウドサービスは便利でメリットの多いサービスですが、活用には注意すべき点もあります。クラウドサービスを利用する際は、以下の点に注意してください。
- ・信頼できるサービスを選ぶ
- ・自社で責任を負う範囲を把握する
- ・クラウド上に情報を保管する際のルールを設ける
- ・アクセス権と認証情報を厳格に管理する
ここでは、それぞれの注意点について解説します。
信頼できるサービスを選ぶ
クラウドサービスは無料のものから有料のものまで、多くのサービスが提供されています。業務で利用するものは、その中から安全性が担保された信頼できるサービスを選ばなければなりません。
クラウドサービスを選ぶ際は、稼働率やセキュリティ対策などを確認し、安定して利用できるサービスを選びましょう。
自社で責任を負う範囲を把握する
サービス提供側が運用を担当するからといって、自社側が何もセキュリティ対策を行わなくて良いというわけではありません。
一口にクラウドサービスといってもその内容はさまざまで、どこまでがサービス提供側の責任範囲で、自社の責任範囲はどこからなのかを把握しておかなければ、セキュリティインシデントの要因となります。
例えば、セキュリティ対策が万全なクラウドストレージを利用していても、設定したアクセス権が適切でなかったり、ID・パスワードを第三者に漏らしてしまったりした場合には、情報が漏えいしてしまう可能性があります。
クラウド上に情報を保管する際のルールを設ける
クラウドサービスは、インターネット経由で利用することが前提です。そのため、セキュリティ対策を行っていたとしてもリスクをゼロにすることはできません。
機密情報はクラウド上には保存しないなど、クラウドサービス利用時の情報管理についてのルールを決めておくことも大切です。
アクセス権と認証情報を厳格に管理する
先述のとおり、自社で適切なセキュリティ対策を講じておかなければ、クラウドサービス利用時にセキュリティインシデントが発生する恐れがあります。
クラウドサービス利用時に自社で行うべきセキュリティ対策の代表が、アクセス権と認証情報の管理です。
重要な情報に誰でもアクセスできるようになっていては、不注意や内部不正によって情報が漏えいする危険があります。また、推測されすいパスワードを使用していたり、パスワードの使い回しをしていたりすると、第三者に不正アクセスされるかもしれません。
適切なアクセス権の設定、パスワードの厳重な管理に加えて、多要素認証などの強力な認証手法の採用も有効です。
ゼロトラストセキュリティとは
近年、「ゼロトラストセキュリティ」という考え方が注目されています。
ゼロトラストセキュリティとは、「何も信頼しない」という前提でセキュリティ対策を講じることです。サイバー攻撃の高度化やネットワーク構成の複雑化などの背景があり、注目されるようになりました。
従来は「社内ネットワークの中は安全」という境界型セキュリティが主流でしたが、インターネット経由で業務を行うシーンも増えています。
そのため、テレワーク実施時には社内ネットワーク内外でセキュリティ対策を区別しないゼロトラストセキュリティの採用も重要です。
まとめ
「テレワークセキュリティガイドライン 第5版」の第2章について解説しました。テレワークを導入するには、立場ごとの役割や利用が増えているクラウドサービスについて、検討段階で理解しておくことが大切です。
第2章の内容が理解できたら、併せて第3章以降についてもご確認ください。
第3章では、テレワークの各種方式について、第4章・第5章では具体的なセキュリティ対策について記載されています。
■ 第3章はこちら
■ 第4章・第5章はこちら
