テレワークセキュリティガイドラインの概要や取り入れるべき考え方について

INDEX

    テレワークセキュリティガイドラインは、テレワーク時のセキュリティ確保に役立つ指標となるガイドラインです。現時点においても、テレワークによる業務や作業において、企業や組織側も働く側も不安を感じたままの場合もあるでしょう。

    今回は、テレワークセキュリティガイドラインの概要や取り入れるべき考え方についてご紹介します。


    テレワークセキュリティガイドラインとは

    はじめにテレワークセキュリティガイドラインの概要を押えておきましょう。

    総務省が取りまとめているテレワーク時のセキュリティ確保に必要な情報

    テレワークセキュリティガイドラインとは、総務省が取りまとめているテレワーク時のセキュリティ確保に必要な情報です。

    総務省:テレワークセキュリティガイドライン 第5版

    上記URLのPDFが総務省が取りまとめている、テレワークセキュリティガイドラインであり、参考にすることでテレワークに対応したセキュリティガイドラインを構築しやすくなります。

    簡単に概要を説明すると、テレワークにおける情報セキュリティ対策の考え方、テレワークのセキュリティ対策のポイント、テレワークセキュリティ対策の解説という流れになっています。まずはテレワークセキュリティガイドラインのPDFを熟読し、どこまで自社が対応できているのか見極めると良いでしょう。

    チェックリストを利用することでゼロベースから学べる

    総務省では中小企業担当者向けとして、下記URLのPDFにてテレワークセキュリティの手引き、チェックリストを提供しています。

    総務省:中小企業等担当者向け テレワークセキュリティの手引き

    具体的に何が知りたいのか、何がわからないのかなど、段階や状況に合わせた対策パターンが説明されています。初めてテレワークに対応するための準備段階でチェックリストを利用すれば、必要最低限のセキュリティの確保につながるでしょう。

    特にテレワークに必要なシステムやツールがわからない、そもそもテレワークの仕組みや考え方がわからないなどの状況でも、段階的に学ぶことができます。その他、自社のパソコンを貸与すべきか、従業員所有のパソコンを使ってもらうべきか、具体的にどのようなシステムやツールを使うと良いのか示されていますので、ゼロベースでテレワークを導入する場合に役立つでしょう。

    テレワークの方針や注意点を理解することにつながる

    テレワークで何が課題や問題になるのかと言えば、一番は「新しい働き方であり、未知の領域」である点です。要するに知らない、わからないから困ったり、悩んだりしてしまうだけであり、きちんと理解すればテレワークの導入は難しいものではないことがわかります。

    まずは下記URLよりテレワークにおけるセキュリティ確保についての情報収集を行っておきましょう。

    総務省:テレワークにおけるセキュリティ確保

    そしてテレワークに必要な機材やソフトウェア、システムやツールを整えること、テレワークでも出社時と同じような作業環境を構築することを意識してみてください。


    テレワークセキュリティガイドラインに掲載されているトラブル事例

    次に、テレワークセキュリティガイドラインに掲載されているトラブル事例を3つの視点からご説明します。

    サイバー攻撃に関するトラブル事例

    テレワークによってセキュリティ性が低くなった場合のサイバー攻撃によるトラブル事例があります。社内や組織内のデバイスやネットワークであれば防げたようなサイバー攻撃でも、自宅の個人が所有するパソコンでは防げないようなことが挙げられています。ランサムウェアなどのマルウエアの感染、不審なメール、パソコンの乗っ取りなど、安全なネットワーク内、もしくは管理されたデバイスでないことによるリスクと言えます。

    これらはテレワーク勤務者と企業や組織側の両方の不備と言える部分であり、パソコンやネットワークを貸与しなかったこと、または従業員が勝手に所有するパソコンやネットワークを利用してしまうことが原因になりがちです。

    テレワーク勤務者の不備によるトラブル事例

    テレワーク勤務者の不備によるトラブル事例は、OSやソフトウェアのアップデートの不備、覗き見やデバイスの盗難、公衆無線LANの利用などが挙げられています。その他、単純にソフトやシステムの使い方がわからず、業務や作業の遅延、ミスやエラーの多発なども考えられるトラブルです。

    前述したサイバー攻撃に関するトラブル事例にも関わることですが、セキュリティ対策の意識が低い場合、自分はサイバー攻撃に狙われないだろうという油断が原因となります。また、社内で用意されたネットワークやデバイス、OSやソフトウェアでこれまで仕事していたため、ITに関する知識がそれほどなくてもなんとなく作業できてしまっていたということも、そうしたトラブルの要因になると言えるでしょう。

    企業や組織側の不備によるトラブル事例

    企業や組織側の不備によるトラブルは社内や組織内の基幹システム、またはサーバーやデータベースへのアクセスのセキュリティ対策不足が挙げられます。情報漏えいや内部不正も含めて、PCの操作ログやアクセスログの監視や管理の不足、または権限の割り振りに問題があるのが原因です。

    外部からのデバイスのアクセスを制御すること、認証の仕組みを用意しなければ起こり得ることであり、情報レベルの仕分け及び権限の割り振りが甘ければ、重大なインシデントとなる可能性もあります。単純に従業員がアクセスしやすい状況は、悪意のある第三者もアクセスしやすい状況ですので、安易にセキュリティレベルが下がるような設定を行わないようにしましょう。

    may-gauthier-6KTLgX7AQe0-unsplash.jpg

    テレワークセキュリティガイドラインから取り入れるべき考え方

    次に、総務省発行のテレワークセキュリティガイドラインから取り入れるべき考え方についてご説明します。

    雇用する側と働く側の双方がセキュリティ意識を持つこと

    雇用する側と働く側の双方が「自分もサイバー攻撃の対象である」というセキュリティ意識を持つことが大切です。そして最低限、OSやソフトウェアのアップデート、ウイルス対策ソフトのインストール、危険なサイトへアクセスしないこと、メールの添付ファイルを安易に開かないことなど、具体的なセキュリティ対策の情報を共有、周知徹底しましょう。

    テレワーク時も出社と同様の相談や質問できる体制を作る

    テレワークによるトラブルの大半はテレワーク勤務者が「わからない」や「知らない」まま業務や作業をしてしまうことが原因です。OSやソフトウェアのアップデートがわからない、テレワークで使うよう指示されたツールやソフトウェアの使い方がわからない。セキュリティのことはなおのことよくわからないという状況のままではトラブルが多発してしまいます。

    まずは、テレワーク時も出社時と同様に相談や質問ができる体制を作りましょう。文字や音声によるチャット、ビデオ会議ツールなど、すぐに相談できる窓口を設けるか、お互いに話しやすいチャットツールの推奨を行うなどコミュニケーションしやすくすることが重要です。

    誰もが新しい働き方に理解を示し、お互いに働きやすい環境作りを

    テレワークにおいてはIT格差や能力の差、コミュニケーションの得手不得手によって、出社時とは異なる形で各々の知識や経験、スキルが露見するタイミングでもあります。逆に言えば、出社していれば仕事していることが理解されるのに、テレワークだと可視化されず、まるで仕事をしていないかのように感じられてしまうこともあると言うことです。

    テレワークを成功させるためには、誰もが新しい働き方に理解を示し、お互いに働きやすい環境の構築、新しいコミュニケーションの形を模索するという意識改革も行いましょう。


    初めてテレワークする際にチェックしておくべきポイント

    次に、初めてテレワークする際にチェックしておくべきポイントをご紹介します。

    テレワークする従業員の業務内容は適切か

    テレワークの場合、社内や組織内と比べて遂行可能な業務内容が限られています。もちろん、工夫次第で大抵のことは対応可能でもありますが、セキュリティ面や個人情報の観点から、企業や組織などの敷地外で行うべきではない業務もあります。

    テレワークでは物理的な監視の目が行き届かないことを意識しつつ、PC操作ログを取得する仕組みを導入し、リモートで監視・管理できる範囲の業務を割り当てることが大切です。その他、従業員としっかりとコミュニケーションをとって、どのような状況・環境でテレワークをしているのか把握することも忘れないようにしましょう。

    顧客情報や機密情報の取扱いは安全か

    担当する業務の範囲によっては顧客情報や機密情報を取り扱うこともあるでしょう。そのため、それらの情報を安全に取り扱えるかもチェックしておくべきと言えます。前述した通りにテレワークでは物理的な監視の目が行き届かないこともあり、出社していれば芽生えなかった内部不正に手を染める可能性も決してゼロではありません。

    もちろん、従業員を信頼することも大事ですが、システム的に従業員が内部不正できないように対策しておくこと、PC操作ログの取得および監視、メールやWebの閲覧履歴の監視などを導入し、透明性を確保しながら安全にテレワークできる環境を整えましょう。

    テレワークでも適切に労務管理や評価できるか

    テレワークの課題のひとつである「労務管理や評価」についてもチェックしておくべきです。監視の目が行き届かないのと同様に、普段であれば勤務状況を目視でチェックできていても、テレワークだと勤務状況や態度をチェックして把握することは難しくなります。

    また、担当する作業や業務によっては、定量的な評価や数値的な実績が把握しにくいこともあります。同様に結果ありきの作業・業務においても数値による実績が示せないことで評価できないこともあるでしょう。テレワークだと評価されない、出社している人の方が評価されるといったことがないよう社内規則の見直しも含めて、労務管理の体制を整えることが大切です。

    テレワークする人とそうでない人に格差はないか

    業界や業種によっては、テレワークできる人とそうでない人が生じます。そのため、作業内容や業務内容自体も異なり、労力や負担による差が生まれてしまうこともあります。どちらかが明らかに楽をしている、または負担が大きいといった格差がありながら、適切な評価がされないと不満の発生につながるので注意しなくてはなりません。

    もちろん、対面での接客や直接的な顧客対応が必要な職種や業態であれば仕方がないことですし、バックオフィス系業務と現場での作業業務は元々異なるものです。だからこそ、適切に評価をしつつ、従業員の心身の健康を意識しながら、負担の偏りや属人化とならないようバランスの良い作業配分を行うようにしましょう。

    システム的な管理が可能でセキュリティ性が確保できているか

    テレワーク環境は企業や組織の敷地内とは別の環境でもあります。そのため、セキュリティ性が確保できない可能性も高く、敷地内とは別のセキュリティに関するリスク・脅威・被害への対策も考えておかなくてはなりません。

    雇用する側・管理する側としても、リモートでシステム的な管理を行える仕組みによってセキュリティを強化し、安心・安全なテレワーク環境を提供する必要があります。その他にもパソコンやネットワークなど物理的な部分においても、システム的な管理や監視ができる環境を整えて、社内や組織内と同等、もしくはそれ以上のセキュリティ性の確保に努めましょう。


    テレワークに必要な技術がわからない時に押さえておきたいこと

    次にテレワークに必要な技術がわからない時に押さえておきたいことについて解説します。

    パソコン・OS・ソフトウェアをリモートで管理する技術がある

    テレワークに必須となるのがパソコン・OS・ソフトウェアをリモートで管理することです。既にIT資産管理や情報資産管理といった仕組みを持つツール・ソフトは存在しており、リモートによる管理が可能となる技術があることを知っておきましょう。

    リモートでデバイスの環境や状況を管理できる仕組みがあれば、テレワーク時においても社内や組織内にいるのと同様のデバイス管理が可能です。また、不正PC遮断や許可したPCのみログイン可など、テレワーク時でも安心・安全に社内ネットワークや情報資産・情報資源にアクセスできるようになります。

    PC操作ログを取得して監視・管理できる技術がある

    PC操作ログとはパソコン全般の操作の記録を指します。テレワーク時の物理的な監視の目が行き届かない状況を改善できる仕組みであり、労務管理としても利用できる他、内部不正対策の強化にもつながります。

    その他にもWebフィルタリング、Web閲覧履歴の取得、メールの送受信の履歴の取得など、従業員の操作や行動を把握できる仕組みもあり、組み合わせることで管理や監視がしやすく、透明性の高いテレワーク環境を構築することが可能です。

    OSやソフトウェアのアップデートをリモートで管理できる

    IT資産管理や情報資産管理のツール、ソフトの中にはOSソフトウェアのアップデートをリモートで管理できるものもあります。テレワーク時ですとデバイスやデバイス内の状況を把握しにくいイメージがありますが、これらのツール・ソフトをインストールすればアップデートに関する課題は解決します。

    OSやソフトウェアのアップデートは脆弱性のパッチやセキュリティホールの修復が含まれることもあり、従業員任せにしてはいけない部分でもあります。そのため、テレワーク時でもリモートでアップデートできる仕組みを導入すること自体がセキュリティの強化につながるということです。

    テレワークできる作業・業務か同業他社や他業界も参考にしてみる

    IT技術に関しては必ずしも目的や用途通りで一辺倒にしか利用できないということはありません。例えば、個人情報を取り扱う保険業界においてテレワーク率が非常に高い企業も存在しており「うちではテレワークは無理だろう」と思い込んでテレワークに対応しないのは企業や組織としての怠慢とも言えます。

    同業他社や他業界の企業も参考にしてみて、どのような作業・業務でテレワークをしているのか、どのような形でセキュリティ性を確保しているのかチェックすることも時には大切ということです。その上でパソコンなどのデバイス管理に不安があればIT資産管理、情報・データなど情報資産や情報資源の安全性の確保が心配であれば情報資産管理の仕組みの導入がおすすめです。

    テレワークを機に情報システム部やセキュリティ担当の雇用・配置を行う

    企業の規模、業界や業種によって異なりますが、テレワークを機に情報システム部やセキュリティ担当の雇用・配置を行うことも考えましょう。もし、既に情報システム部やセキュリティ担当を配置しているが、それでも不安であるならセキュリティベンダーとのつながりを作っておくと不安が解消されます。

    特にIT資産管理や情報資産管理のツール・ソフトの開発元であれば、最新のセキュリティに関する知見、既知のサイバー攻撃への対策、未知の脅威・リスク・被害への防止など専門家によるアドバイスやサポートが受けられますので非常に安心です。


    まとめ:セキュリティ性の確保や一元管理ができるシステムを導入すべき

    今回は、総務省によるテレワークセキュリティガイドラインの概要や取り入れるべき考え方についてご紹介しました。

    実際問題として、テレワークという働き方は決して難しいものではありません。難しいと感じるのは、テレワークに対応できるシステムや仕組みを知らないからです。むしろ、テレワークによってライフワークバランスの調整、または遠方の優秀な人材を確保できるというポジティブな側面もあります。
    誰もが安心、安全にテレワークできるようにするためにも、まずはテレワークセキュリティガイドラインを基本として指針や方針を作成、意識改革とともにセキュリティを確保できるシステムとして、IT資産管理および情報資産管理が可能なツール・ソフトの導入を検討してみてください。
    そして、働きやすい環境作りは意識改革だけでは実現できません。誰もがセキュリティ意識を持ちながら、同時にシステム面でセキュリティを確保することが前提となります。
    例えば、当社の提供する「AssetView」であれば、テレワーク時におけるセキュリティの確保、従業員の進捗など勤怠や労務の把握、認証したデバイスのみアクセス可能にするなど、テレワークでも安心・安全に業務できる仕組みを備えております。
    テレワークセキュリティガイドラインのトラブル事例の対策や業務体制にテレワークを構築できるお手伝いが可能ですので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

      2024/11/19(火)10:00~10:30

      【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

    • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

      アーカイブ配信

      常時開催

      【改訂】ISMS(ISO27001:2022)
      対策のポイント5選

    • IT導入補助金2024の攻略法

      アーカイブ配信

      常時開催

      IT導入補助金2024の攻略法

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら