テレワークセキュリティガイドラインは、テレワーク時のセキュリティ確保に役立つ指標となるガイドラインです。現時点においても、テレワークによる業務や作業において、企業や組織側も働く側も不安を感じたままの場合もあるでしょう。

今回は、テレワークセキュリティガイドラインの概要や取り入れるべき考え方についてご紹介します。

テレワークセキュリティガイドラインとは

はじめにテレワークセキュリティガイドラインの概要を押えておきましょう。

総務省が取りまとめているテレワーク時のセキュリティ確保に必要な情報

テレワークセキュリティガイドラインとは、総務省が取りまとめているテレワーク時のセキュリティ確保に必要な情報です。

総務省：テレワークセキュリティガイドライン 第5版

上記URLのPDFが総務省が取りまとめている、テレワークセキュリティガイドラインであり、参考にすることでテレワークに対応したセキュリティガイドラインを構築しやすくなります。

簡単に概要を説明すると、テレワークにおける情報セキュリティ対策の考え方、テレワークのセキュリティ対策のポイント、テレワークセキュリティ対策の解説という流れになっています。まずはテレワークセキュリティガイドラインのPDFを熟読し、どこまで自社が対応できているのか見極めると良いでしょう。

チェックリストを利用することでゼロベースから学べる

総務省では中小企業担当者向けとして、下記URLのPDFにてテレワークセキュリティの手引き、チェックリストを提供しています。

総務省：中小企業等担当者向け テレワークセキュリティの手引き

具体的に何が知りたいのか、何がわからないのかなど、段階や状況に合わせた対策パターンが説明されています。初めてテレワークに対応するための準備段階でチェックリストを利用すれば、必要最低限のセキュリティの確保につながるでしょう。

特にテレワークに必要なシステムやツールがわからない、そもそもテレワークの仕組みや考え方がわからないなどの状況でも、段階的に学ぶことができます。その他、自社のパソコンを貸与すべきか、従業員所有のパソコンを使ってもらうべきか、具体的にどのようなシステムやツールを使うと良いのか示されていますので、ゼロベースでテレワークを導入する場合に役立つでしょう。

テレワークの方針や注意点を理解することにつながる

テレワークで何が課題や問題になるのかと言えば、一番は「新しい働き方であり、未知の領域」である点です。要するに知らない、わからないから困ったり、悩んだりしてしまうだけであり、きちんと理解すればテレワークの導入は難しいものではないことがわかります。

まずは下記URLよりテレワークにおけるセキュリティ確保についての情報収集を行っておきましょう。

総務省：テレワークにおけるセキュリティ確保

そしてテレワークに必要な機材やソフトウェア、システムやツールを整えること、テレワークでも出社時と同じような作業環境を構築することを意識してみてください。

テレワークセキュリティガイドラインに掲載されているトラブル事例

次に、テレワークセキュリティガイドラインに掲載されているトラブル事例を3つの視点からご説明します。

サイバー攻撃に関するトラブル事例

テレワークによってセキュリティ性が低くなった場合のサイバー攻撃によるトラブル事例があります。社内や組織内のデバイスやネットワークであれば防げたようなサイバー攻撃でも、自宅の個人が所有するパソコンでは防げないようなことが挙げられています。ランサムウェアなどのマルウエアの感染、不審なメール、パソコンの乗っ取りなど、安全なネットワーク内、もしくは管理されたデバイスでないことによるリスクと言えます。

これらはテレワーク勤務者と企業や組織側の両方の不備と言える部分であり、パソコンやネットワークを貸与しなかったこと、または従業員が勝手に所有するパソコンやネットワークを利用してしまうことが原因になりがちです。

テレワーク勤務者の不備によるトラブル事例

テレワーク勤務者の不備によるトラブル事例は、OSやソフトウェアのアップデートの不備、覗き見やデバイスの盗難、公衆無線LANの利用などが挙げられています。その他、単純にソフトやシステムの使い方がわからず、業務や作業の遅延、ミスやエラーの多発なども考えられるトラブルです。

前述したサイバー攻撃に関するトラブル事例にも関わることですが、セキュリティ対策の意識が低い場合、自分はサイバー攻撃に狙われないだろうという油断が原因となります。また、社内で用意されたネットワークやデバイス、OSやソフトウェアでこれまで仕事していたため、ITに関する知識がそれほどなくてもなんとなく作業できてしまっていたということも、そうしたトラブルの要因になると言えるでしょう。

企業や組織側の不備によるトラブル事例

企業や組織側の不備によるトラブルは社内や組織内の基幹システム、またはサーバーやデータベースへのアクセスのセキュリティ対策不足が挙げられます。情報漏えいや内部不正も含めて、PCの操作ログやアクセスログの監視や管理の不足、または権限の割り振りに問題があるのが原因です。

外部からのデバイスのアクセスを制御すること、認証の仕組みを用意しなければ起こり得ることであり、情報レベルの仕分け及び権限の割り振りが甘ければ、重大なインシデントとなる可能性もあります。単純に従業員がアクセスしやすい状況は、悪意のある第三者もアクセスしやすい状況ですので、安易にセキュリティレベルが下がるような設定を行わないようにしましょう。

テレワークセキュリティガイドラインから取り入れるべき考え方

次に、総務省発行のテレワークセキュリティガイドラインから取り入れるべき考え方についてご説明します。

雇用する側と働く側の双方がセキュリティ意識を持つこと

雇用する側と働く側の双方が「自分もサイバー攻撃の対象である」というセキュリティ意識を持つことが大切です。そして最低限、OSやソフトウェアのアップデート、ウイルス対策ソフトのインストール、危険なサイトへアクセスしないこと、メールの添付ファイルを安易に開かないことなど、具体的なセキュリティ対策の情報を共有、周知徹底しましょう。

テレワーク時も出社と同様の相談や質問できる体制を作る

テレワークによるトラブルの大半はテレワーク勤務者が「わからない」や「知らない」まま業務や作業をしてしまうことが原因です。OSやソフトウェアのアップデートがわからない、テレワークで使うよう指示されたツールやソフトウェアの使い方がわからない。セキュリティのことはなおのことよくわからないという状況のままではトラブルが多発してしまいます。

まずは、テレワーク時も出社時と同様に相談や質問ができる体制を作りましょう。文字や音声によるチャット、ビデオ会議ツールなど、すぐに相談できる窓口を設けるか、お互いに話しやすいチャットツールの推奨を行うなどコミュニケーションしやすくすることが重要です。

誰もが新しい働き方に理解を示し、お互いに働きやすい環境作りを

テレワークにおいてはIT格差や能力の差、コミュニケーションの得手不得手によって、出社時とは異なる形で各々の知識や経験、スキルが露見するタイミングでもあります。逆に言えば、出社していれば仕事していることが理解されるのに、テレワークだと可視化されず、まるで仕事をしていないかのように感じられてしまうこともあると言うことです。

テレワークを成功させるためには、誰もが新しい働き方に理解を示し、お互いに働きやすい環境の構築、新しいコミュニケーションの形を模索するという意識改革も行いましょう。

初めてテレワークする際にチェックしておくべきポイント

次に、初めてテレワークする際にチェックしておくべきポイントをご紹介します。

テレワークする従業員の業務内容は適切か

テレワークの場合、社内や組織内と比べて遂行可能な業務内容が限られています。もちろん、工夫次第で大抵のことは対応可能でもありますが、セキュリティ面や個人情報の観点から、企業や組織などの敷地外で行うべきではない業務もあります。

テレワークでは物理的な監視の目が行き届かないことを意識しつつ、PC操作ログを取得する仕組みを導入し、リモートで監視・管理できる範囲の業務を割り当てることが大切です。その他、従業員としっかりとコミュニケーションをとって、どのような状況・環境でテレワークをしているのか把握することも忘れないようにしましょう。

顧客情報や機密情報の取扱いは安全か

担当する業務の範囲によっては顧客情報や機密情報を取り扱うこともあるでしょう。そのため、それらの情報を安全に取り扱えるかもチェックしておくべきと言えます。前述した通りにテレワークでは物理的な監視の目が行き届かないこともあり、出社していれば芽生えなかった内部不正に手を染める可能性も決してゼロではありません。

もちろん、従業員を信頼することも大事ですが、システム的に従業員が内部不正できないように対策しておくこと、PC操作ログの取得および監視、メールやWebの閲覧履歴の監視などを導入し、透明性を確保しながら安全にテレワークできる環境を整えましょう。

テレワークでも適切に労務管理や評価できるか

テレワークの課題のひとつである「労務管理や評価」についてもチェックしておくべきです。監視の目が行き届かないのと同様に、普段であれば勤務状況を目視でチェックできていても、テレワークだと勤務状況や態度をチェックして把握することは難しくなります。

また、担当する作業や業務によっては、定量的な評価や数値的な実績が把握しにくいこともあります。同様に結果ありきの作業・業務においても数値による実績が示せないことで評価できないこともあるでしょう。テレワークだと評価されない、出社している人の方が評価されるといったことがないよう社内規則の見直しも含めて、労務管理の体制を整えることが大切です。

テレワークする人とそうでない人に格差はないか

業界や業種によっては、テレワークできる人とそうでない人が生じます。そのため、作業内容や業務内容自体も異なり、労力や負担による差が生まれてしまうこともあります。どちらかが明らかに楽をしている、または負担が大きいといった格差がありながら、適切な評価がされないと不満の発生につながるので注意しなくてはなりません。

もちろん、対面での接客や直接的な顧客対応が必要な職種や業態であれば仕方がないことですし、バックオフィス系業務と現場での作業業務は元々異なるものです。だからこそ、適切に評価をしつつ、従業員の心身の健康を意識しながら、負担の偏りや属人化とならないようバランスの良い作業配分を行うようにしましょう。

システム的な管理が可能でセキュリティ性が確保できているか

テレワーク環境は企業や組織の敷地内とは別の環境でもあります。そのため、セキュリティ性が確保できない可能性も高く、敷地内とは別のセキュリティに関するリスク・脅威・被害への対策も考えておかなくてはなりません。

雇用する側・管理する側としても、リモートでシステム的な管理を行える仕組みによってセキュリティを強化し、安心・安全なテレワーク環境を提供する必要があります。その他にもパソコンやネットワークなど物理的な部分においても、システム的な管理や監視ができる環境を整えて、社内や組織内と同等、もしくはそれ以上のセキュリティ性の確保に努めましょう。

テレワークに必要な技術がわからない時に押さえておきたいこと

次にテレワークに必要な技術がわからない時に押さえておきたいことについて解説します。

パソコン・OS・ソフトウェアをリモートで管理する技術がある

テレワークに必須となるのがパソコン・OS・ソフトウェアをリモートで管理することです。既にIT資産管理や情報資産管理といった仕組みを持つツール・ソフトは存在しており、リモートによる管理が可能となる技術があることを知っておきましょう。

リモートでデバイスの環境や状況を管理できる仕組みがあれば、テレワーク時においても社内や組織内にいるのと同様のデバイス管理が可能です。また、不正PC遮断や許可したPCのみログイン可など、テレワーク時でも安心・安全に社内ネットワークや情報資産・情報資源にアクセスできるようになります。

PC操作ログを取得して監視・管理できる技術がある

PC操作ログとはパソコン全般の操作の記録を指します。テレワーク時の物理的な監視の目が行き届かない状況を改善できる仕組みであり、労務管理としても利用できる他、内部不正対策の強化にもつながります。

その他にもWebフィルタリング、Web閲覧履歴の取得、メールの送受信の履歴の取得など、従業員の操作や行動を把握できる仕組みもあり、組み合わせることで管理や監視がしやすく、透明性の高いテレワーク環境を構築することが可能です。

OSやソフトウェアのアップデートをリモートで管理できる

IT資産管理や情報資産管理のツール、ソフトの中にはOSソフトウェアのアップデートをリモートで管理できるものもあります。テレワーク時ですとデバイスやデバイス内の状況を把握しにくいイメージがありますが、これらのツール・ソフトをインストールすればアップデートに関する課題は解決します。

OSやソフトウェアのアップデートは脆弱性のパッチやセキュリティホールの修復が含まれることもあり、従業員任せにしてはいけない部分でもあります。そのため、テレワーク時でもリモートでアップデートできる仕組みを導入すること自体がセキュリティの強化につながるということです。

テレワークできる作業・業務か同業他社や他業界も参考にしてみる

IT技術に関しては必ずしも目的や用途通りで一辺倒にしか利用できないということはありません。例えば、個人情報を取り扱う保険業界においてテレワーク率が非常に高い企業も存在しており「うちではテレワークは無理だろう」と思い込んでテレワークに対応しないのは企業や組織としての怠慢とも言えます。

同業他社や他業界の企業も参考にしてみて、どのような作業・業務でテレワークをしているのか、どのような形でセキュリティ性を確保しているのかチェックすることも時には大切ということです。その上でパソコンなどのデバイス管理に不安があればIT資産管理、情報・データなど情報資産や情報資源の安全性の確保が心配であれば情報資産管理の仕組みの導入がおすすめです。

テレワークを機に情報システム部やセキュリティ担当の雇用・配置を行う

企業の規模、業界や業種によって異なりますが、テレワークを機に情報システム部やセキュリティ担当の雇用・配置を行うことも考えましょう。もし、既に情報システム部やセキュリティ担当を配置しているが、それでも不安であるならセキュリティベンダーとのつながりを作っておくと不安が解消されます。

特にIT資産管理や情報資産管理のツール・ソフトの開発元であれば、最新のセキュリティに関する知見、既知のサイバー攻撃への対策、未知の脅威・リスク・被害への防止など専門家によるアドバイスやサポートが受けられますので非常に安心です。

まとめ：セキュリティ性の確保や一元管理ができるシステムを導入すべき

今回は、総務省によるテレワークセキュリティガイドラインの概要や取り入れるべき考え方についてご紹介しました。