2020年から急速に浸透したテレワークにより、現在でもセキュリティに対する不安を抱えている企業やビジネスパーソンは多いでしょう。東京商工リサーチが実施した『上場企業の個人情報漏えい・紛失事故調査』によれば、2020年の1年間における情報漏洩・紛失事故件数は103件となり、漏洩した個人情報件数は2,515万47人分に達したと報じています。また、とある東証一部上場企業では、テレワーク対応のために稼働させたVPN装置のセキュリティ脆弱性から不正アクセスが発生したことを公表しています。
テレワークが避けられず、もはや推奨されている時代。企業は変化する環境に対してセキュリティをどう強化すれば良いのか?本記事では総務省が公開している、『テレワークセキュリティガイドライン(第4版)』を参考に、テレワーク時代に欠かせないセキュリティ対策をご紹介します。
【こちらの記事もオススメ】
在宅勤務・テレワークを導入!就業規則の変更は必要?定めるべき項目と注意点
目次
経営者が率先し、セキュリティ対策の大枠を決定する
ガイドラインがまず初めに示しているのは「経営者が実施すべき対策」であり、テレワークにおけるセキュリティ対策はやはり経営者自身が率先して大枠を決定し、企業としての方向性を組織全体に示すことが大切だと示唆しています。主なポイントは次の5つです。
1. テレワーク実施を考慮したセキュリティポリシー(実施・対策の方針)を定め、定期的に監査を行う
2. 企業が取り扱う機密情報について、重要度に応じたレベル分けを行いテレワーク上での利用可否と取扱方法を決定する
3. テレワーカーにセキュリティ対策の重要性を教育・啓発した上で業務にあたらせる
4. セキュリティ事故の発生に備え、素早く対応が取れるように連絡体制を整え、訓練を実施させる
5. テレワークのセキュリティ対策に適切な理解を示し、必要な人材・資源・設備に必要な投資をする
上記の中で特に大切だと考えられるのが5番目です。これは第4版で追記された事項であり、経営者自身がテレワークのセキュリティ対策について適切な理解を得ていることが、最大の対策になることを意味しています。
日本の中堅・中小企業では「ひとり情シス」と呼ばれる、情報システム人材が不足している現状が問題視されています。そうした企業の3割は過去にセキュリティ事故の被害を受けているという調査結果もあり、個人情報漏洩などのニュースは決して対岸の火事ではありません。問題はやはり、経営者・経営層の情報システム及びセキュリティに対する理解不足であり、それ故に必要な人材や資源を現場に送り込めていない現状があります。
セキュリティ対策というのは生命保険のようなもので、起きるか否かも分からないリスクに備えるためにあります。しかし生命保険と違う点は、事故等によって5年以内に自分が死傷する確率よりも、企業がセキュリティ事故の被害に遭う確率の方が圧倒的に高いことです。この事実を真摯に受け止めれば、テレワークにおけるセキュリティ対策が如何に重要かを理解し、適切な人材や資源を投じる決心が付くのではないでしょうか。
テレワーカーが意識すべきセキュリティ対策とは
在宅勤務等を実施するテレワーカーは、ICTを活用してコミュニケーションを取りながら仕事をするという状況には「少なからずセキュリティ脆弱性が潜んでいる」という事実を理解し、適切な行動を心がけることが大切です。ガイドラインでは大まかに、次のポイントを提示しています。
テレワーク上で扱う機密情報について、企業によって定められたセキュリティ対策の大枠と、情報のレベル分けに応じた運用ルールに従うこと
私用端末をテレワークに用いる場合は日常の利用状況が企業のセキュリティ脆弱性に繋がることを理解し、OSやブラウザを最新の状態に保ちながら安全性の高い利用を心がけること
機密性の高い情報を極力持ち出す必要なく業務をこなすための工夫を凝らし、やむを得ず持ち出す際は情報の原本を安全な場所に保存しておくこと
自宅やカフェなど公共の場も含み、無線LAN利用に伴うリスクを理解した上で個人的に確保すべきセキュリティ対策を確実に保持しておくこと
社内システム(クラウドサービス含む)へアクセスするためのID・パスワード等を適切に管理しながら、二要素認証などセキュリティ性の高いアクセスを積極的に活用すること
SNSやオンラインストレージなの外部アプリケーションを利用する際は、企業によって定められた運用ルールやガイドラインに従い、管理者に黙ってアプリケーションを利用しないこと
テレワーカー経由でセキュリティ事故が発生した場合、企業から賠償責任を問われることもあります。セキュリティ事故は被害者になることはもちろん、加害者になる可能性も高いので、厚生労働省が公開しているテレワークセキュリティガイドラインに、一度は目を通しておきましょう。
テレワークセキュリティの一歩は意識から
テレワークに限った話ではありませんが、セキュリティとは意識することから始まり、あらゆる事態を想定しながらリスクに優先度を付け、しっかりとした対策が取れるかどうかです。厚生労働省が公開しているテレワークセキュリティガイドラインを参考にしながら、自社独自のセキュリティ対策を実施していただきたいと思います。