テレワークセキュリティガイドラインとは？最新第5版での必要な対策で業務の安全性を向上

2020年を境にテレワークを推進する企業が増え、今後の働き方に大きな影響を与えています。弊社では創業当初から一部では導入していたものの、2020年以降は全社でテレワークを実施し、現在も継続しています。
 

テレワークにおけるセキュリティは非常に重要な課題で、指針になるのが総務省で公開している「テレワークセキュリティガイドライン」です。
 

この記事ではセキュリティガイドラインの解説や、弊社が実施するテレワーク環境でのセキュリティ対策について紹介します。
 

テレワークセキュリティガイドラインとは？

出典：テレワークセキュリティガイドライン第５版｜総務省
 

コロナ禍によりテレワーク化が促進されましたが、すでに多様な製品やサービスによって従来の働き方が変わってきています。
 

テレワークを導入する企業が増えることを想定し、総務省が策定したのが「テレワークセキュリティガイドライン」です。
 

テレワークを取り巻く環境の変化やセキュリティ動向の変化を踏まえ、新たに全面改定を行っています。
 

第5版の改訂でどう変わった？

2004年12月に初公開されたテレワークセキュリティガイドラインは、2021年5月の第5版で全面改定されました。
 

参考：テレワークにおけるセキュリティ確保｜総務省
 

新たに策定されるたびに改定が重ねられてきていますが、今回の全面改定により前の第4版と何が変わったのでしょうか。
 

おもな追加・修正は下記の5つです。
 

第5版ではテレワークやセキュリティ環境の変化に対応した内容に改定され、今まで一部に利用されていたテレワーク勤務者だけでなく、経営者、システム・セキュリティ管理者などに向けてのガイドラインにもなっています。
 

ガイドラインの重要性について

今後テレワークを導入する企業や従業員が増えていくので、セキュリティ対策を示したガイドラインはとても重要です。
 

特に重要な情報や機密性の高い情報を取り扱う企業にとって、リスクマネジメントを適切に行うことが大事で、セキュリティ対策は書かせません。
 

テレワークセキュリティガイドラインは安全対策の指針としての役割を果たすものです。

テレワークセキュリティに欠かせない「人」「ルール」「技術」

テレワーク環境には通勤の負担軽減や生産性の向上、仕事へのモチベーション維持など様々なメリットがありますが、インターネットを利用することからセキュリティ面での不安があります。
 

テレワークセキュリティガイドラインでは、テレワーク環境において重要なのは「人」「ルール」「技術」だとしています。
 

ここから、「人」「ルール」「技術」の何が重要なのかを説明します。
 

経営者・管理者・勤務者の役割とは

企業においてテレワークを実施する場合、経営者、システム・セキュリティ管理者、テレワーク勤務者の3者におけるセキュリティ確保の認識がとても重要です。
 

3者の役割をわかりやすく説明すると下記のようになります。
 

経営者は、セキュリティに関するリスクマネジメントを実施し、組織内におけるセキュリティの基本方針や責任者を決めます。
 

システム・セキュリティ管理者は、経営者の方針を具体化するのが役目で、セキュリティに関するルール作成や対策を実施することが重要です。
 

テレワーク勤務者は、管理者が作成したルールを理解して守ることが大切になります。
 

どのような堅固なルールを作成しても、勤務者が守らなければセキュリティ確保は難しくなるでしょう。
 

テレワーク利用時のルールを決める

テレワークセキュリティのポイントは勤務者がルールを守ることで、テレワーク利用時のルールの明確化が必要です。
 

決めておくべき具体的なルールを5つご紹介します。
 

テレワークセキュリティのためには、以上のルールをしっかり守って勤務することが求められます。
 

実際のテレワーク環境は企業によって異なりますので、総務省のセキュリティガイドラインを参考にして、自社に適したキュリティガイドラインを作成することが大事です。
 

口頭で伝えるだけではなく、誰でもわかるように文書化したガイドラインを策定しておくとテレワークセキュリティへの認知度も高まります。
 

「技術」で「人」や「ルール」で対応できない部分を補完する

「人」や「ルール」で対応できない部分を補完するのが「技術」の役割です。
 

その場合に必要なことは、導入するテレワーク方式の特徴、活用方法などを踏まえて、利便性とセキュリティのバランスを考えることでしょう。

テレワーク導入で起こるセキュリティリスク6選

テレワークを導入する場合は、セキュリティ対策が必須です。
 

対策を立てる時にはどのようなセキュリティリスクがあるのかを知っておく必要があります。
 

テレワークに関わる6つのセキュリティリスクについて解説しましょう。
 

1. 端末の盗難・紛失

企業がテレワークを導入するときに従業員にノートPCを貸与することがありますが、持ち運びに便利なノートPCを置き忘れたり、紛失したりするリスクがあります。
 

紛失・盗難に遇った端末にデータが保存してあれば、情報漏洩の危険性は高いです。
 

2. 認証情報の流出

実際にテレワークで作業をすると色々な場面でIDやパスワードを入力しますが、覚えるのが面倒だからといってメモに残したりすると、流出の可能性が高まります。
 

3. なりすまし・不正アクセス

ハッカーがよく使う攻撃手法のひとつが、なりすましです。
 

盗んだ従業員の認証情報や従業員の自宅Wi-Fiを利用して企業に不正アクセスします。
 

4. 通信の傍受と盗聴

テレワークは自宅で仕事をしますが、利用するWi-Fiを傍受したり、盗聴して情報を盗んだりすることがあります。
 

また、公共に見せかけて仕掛けられたWi-Fiスポットなどからの情報漏洩も考えられます。
 

5. マルウェアなどスパイウェアの感染

テレワークセキュリティで要注意なのは、マルウェアによるウイルス感染です。
 

マルウェアなどのスパイウェアには色々な種類があり、アプリケーションのインストーラに仕込まれたりして、利用者の個人情報などを盗み出します。
 

6. クラウドやアプリの脆弱性

テレワークで効率よく仕事をするために欠かせないのがクラウドサービスですが、ハッカーは常にクラウドの脆弱性を突いて攻撃をしかけます。
 

また、脆弱性の見つかったアプリに対し、企業が対策する前に情報を盗み出すゼロディ攻撃を仕掛けてきます。

テレワーク推進に効果的な6つのセキュリティ対策とは？

代表的なセキュリティリスクを紹介しましたが、ここではテレワークの導入に備えてどのようなセキュリティ対策をすればいいのか、具体的に解説します。
 

1. 端末の持ち出し・盗難を防ぐ

ノートPCなどの紛失や盗難を防ぐためには、端末の機能に利用制限を設けることが推奨されています。
 

例えば端末の起動時間に制限をかけたり、再起動ごとにHDD内のデータを破棄する設定にしたりするなどの対応です。
 

2. 個人情報を暗号化する

企業内で保持する個人情報を暗号化することによって、なりすましや不正アクセスを防ぐことが可能です。
 

3. ウイルス対策ソフトを導入

マルウェアやスパイウェアを防ぐには、ウイルス対策ソフトの導入が効果的です。
 

特に注目されている次世代アンチウイルスソフトが「NGVA」と「EDR」です。
 

新たな攻撃手法を検知し、スピーディーに対応します。
 

4. アカウントの認証管理を強固に

テレワークではさまざまなサービスで認証を行うので、2段階認証やSSO認証の利用が推奨されています。
 

5. アクセス制御と認可

テレワークセキュリティで重視されている対策のひとつが、アクセス制御です。
 

システム利用者を分類して個々のサービスについて従業員に権限を付与し、システム管理者が認可する方法です。
 

6. 不審者の侵入を防ぐ

セキュリティ対策の基本ですが、外部からの不審者を防ぐことも重要です。
 

企業のエントランスや受付のセキュリティを強化するために、電子錠などを用いた入退室管理システムや、物理的なセキュリティゲートなどの設置が効果的です。
 

また部外者の入室を防ぐだけでなく、「いつ誰がオフィスへ出入りしたか」を管理・記録することで、万が一の際にも来訪者記録から迅速な不審な侵入者の特定が可能となります。
 

クラウド受付システムの『RECEPTIONIST』なら、来訪者記録をクラウド上で記録・管理が可能です。
 

先程紹介した入退室管理システムやセキュリティゲートとも連携しているため、オフィスのセキュリティ強化に役立ちます。
 

RECEPTIONISTのセキュリティ対策について詳しくみる

テレワーク化だからこそ十分なセキュリティ対策を

コロナ禍が収束しても、テレワークという働き方が終わるわけではありません。
 

それどころか、ますます広がっていくのがテレワークという新しい働き方です。
 

総務省が公開している最新のテレワークセキュリティガイドラインについて説明してきましたが、テレワークの導入を考えている企業は、本記事を参考にしてぜひともセキュリティの備えを万全にしてください。
 

RECEPTIONISTのセキュリティ対策について詳しくみる