政府主導のもと、「働き方改革」が大きく叫ばれている昨今、働き方の1つとして挙げられているのが「テレワークの導入」です。テレワークとは、単純に言えば、会社外(拠点外)で仕事を行うことを指します。テレワークは、通勤のストレスなどからの解消や、自由な時間の使い方をするための働き方として、さらには2020年の東京オリンピックにおいて交通状況を改善させるための施策としても推奨されています。

テレワーク実施時にセキュリティ担当者が重視しなければならないのは、それぞれの環境が「安全性に欠けた環境となっていないか」の確認です。テレワーク上ではどのようにセキュリティを担保するべきなのか。今回は総務省が示すガイドラインをもとに検討していきましょう。

政府も推奨しているテレワーク

皆さんは「テレワーク・デイズ2019」というイベントをご存じでしょうか。これは2019年7月22日(月)~9月6日(金)にわたって実施されたイベントで、東京オリンピック期間中の混雑解消を狙いとし、参加企業に対して社員のテレワーク(リモートワーク)を推奨・啓発するというものでした。大企業や公的機関が中心の参加となってはいるものの、2017年から始まったこのイベントは現在では2200の団体が参加するものになっています。

この期間、さまざまな企業がテレワークの実施、試用を行いました。イベントの大きな目的としては、「働き方改革の一環としてテレワークを実現させるための、社内環境の整備を一斉に検討してもらう」ことにあります。イベントにあわせた間に合わせの実施ではなく、多様な働き方を検討するためのチャンスとしてもらいたい、ということです。

そもそもテレワークを導入するメリットは社員が「どこにいても」仕事ができることに尽きます。不必要に時間を拘束することはもっての外ではありますが、場合によっては自由な時間の使い方ができ、さらには遠隔地で生活をしている人材の確保も可能です。

テレワークにおけるセキュリティリスク

さて、このテレワーク・デイズのホームページには事前のチェックリストが用意されています。その中でも重きを置かれている確認事項が、「システム・セキュリティの確認」です。テレワークは可能性のある労働スタイルである一方で、企業側から見れば管理外の環境で業務をしてもらうケースがほとんどです。セキュリティがしっかりと検証・管理されなければ、重大な事故を引き起こす可能性があります。

テレワークの際に発生する可能性がある情報インシデントして、総務省から指摘されている事項が以下の3つです。

・情報漏洩(機密性の喪失)
例:テレワーク実施時に使用しているコンピュータにマルウェアが侵入し、保管されている情報が漏洩する

・重要情報の消失(完全性の喪失)
例:テレワーク実施時にコンピュータを外部に置き忘れる、盗難に遭う、またはその結果としてハードディスクが破損する

・作業中断(可用性の喪失)
例:テレワーク実施時にインターネット回線の不調などでインターネットにアクセスできなくなる、社内システムとテレワーク実施時に使用しているコンピュータと連携が取れなくなるなどの理由で作業環境が用意できなくなる

例に上げたケースはテレワークに限らず発生する事象です。しかし、テレワークの場合は数週間から数ヶ月といったスパンで実施されることが推奨されており、その場合システム担当者やセキュリティ管理者の目が行き届かず、また、トラブル発生時にすぐに相談することも難しくなってしまいます。結果としてセキュリティリスクが発生してもすぐに対応できなくなってしまう可能性が高くなるのです。

「テレワークセキュリティガイドライン」とは?

テレワークを推奨するためには社内のセキュリティポリシーを、テレワークを前提あるいは想定したものに設定しなければなりません。そこで総務省は「テレワークセキュリティガイドライン」を策定・更新しています。

このガイドラインは非常にわかりやすい内容で、セキュリティ担当者がテレワークの導入を経営陣や上司に相談された時に、そのまま印刷して確認してもらうことが可能なレベルにまで落とし込まれています。情報流出のケースも数多く掲載されていますので、実際にテレワークを行う従業員にも配布しておくべきものと言えるでしょう。

ただし、このガイドラインを配布しただけで満足してはいけません。実際にテレワークを行うにあたり、自社の環境を整え、どのような形でテレワークを実現させているのか。また、利用している第三者サービス(メール・クラウドドキュメント・コミュニケーションツールなど)や、インターネット回線等を含めたバックグラウンドまでしっかりと確認・図示できる状況まで持って行くことこそがセキュリティ担当者の仕事になります。

スモールスタートで始めるときに最低限押さえておきたいチェックポイント

いくらテレワークが推奨されているとはいえ、全社で一斉にスタートすることはなかなかありません。一部の部署から開始し、その効果を計測しつつ改善していくのもテレワーク導入のポイントになります。そこで、スモールスタート時にセキュリティ担当者が意識しなければならない点をいくつか紹介いたします。

・使用するコンピュータの環境
スモールスタートで設計する場合、テレワーク時に使用するコンピュータやスマートフォンは、個人が所有するデバイスであることが多くなっています。そのため、会社管理下のセキュリティソフトを導入するのはもちろん、事前にそのコンピュータに関しての情報(OSやモデル、使用している主なソフト)をモニタリングし、テレワーク時の使用の可否や万が一の際の原因調査ができる体制を整えましょう。

・使用するネットワークの制限
テレワーク時に使用する回線によってデータを搾取されることの無いよう、テレワーク時の回線利用についてのルールをまとめておきましょう。例えば公衆無線LAN(Wi-Fi)などでの使用は厳しく制限するべきです。可能であれば、VPN接続などでなければ業務用のデータにアクセスできないようにするなど、データの秘密性の維持には十分に配慮してください。

・データ送信/データ保存時の暗号化
個人のデバイスのロック時のパスワードはもちろんのこと、データを送信する/保存する際のデータ自体の暗号化も心がけておくべきです。紛失や盗難などのことも考えてハードウェアレベルでの暗号化も検討してください。

まとめ テレワーク対応は必須。セキュリティソフトを含めた環境構築を検討せよ

テレワークは今後多くの企業において採用されることは間違いありません。実際に自分の会社がそのタイミングになった時に慌てないよう、事前に調査し、いつでも導入の検討ができる体制を作っておくのもセキュリティ担当者の業務です。幸いにも最近のビジネス向けセキュリティソフトは、社外の環境下でもある程度の管理・監視ができるようになっており、これらの手間を大きく減らしてくれることでしょう。

テレワークに対応してセキュリティレベルを上げるというのは必須ではありますが、それにこだわりすぎて業務の非効率化につながってしまっては意味がありません。常に確認・検討・改善を重ねて、自社に最適なテレワーク・セキュリティ体制を構築しましょう。