テレワークのセキュリティ対策

/セキュリティ

概要

従業員の働き方改革や新型コロナの感染対策の一環で、日本の企業でもテレワークの導入が推奨されています。しかし、従来の社内での業務に比べ、社外で行うテレワークについては、ネットワークや端末などの情報セキュリティの対策が十分でなく、それらを狙った攻撃が行われています。

本記事では、総務省「テレワークセキュリティガイドライン」をベースに紹介します。

テレワークの問題点

テレワークとオフィスでの仕事のセキュリティ面での違いは、その業務を行う場所にあります。

  • 社内のセキュリティ対策がされたネットワーク環境ではない。
  • 第三者の立ち入りが可能である。
  • システム管理者の管理や監視が行き届かない。

テレワークの脅威と脆弱性は以下になります。

脅威 脆弱性
マルウェア ソフトウェアのアップデートの未実施、ウィルス定義ファイルの未更新、偽サイトへのアクセス、偽メールの添付ファイルやURLのクリック
不正アクセス 認証やアクセス制御の不備、推測されやすいパスワード、パスワードの漏えい
盗聴 無線LANの設定不備、偽アクセスポイントへの接続、画面の覗き見
紛失・盗難 端末の入ったカバンの置忘れ、カフェなどで端末を放置して離席、暗号化やバックアップの未実施

セキュリティ対策

テレワークの特徴を踏まえ、情報資産を守るためには、ルール・人・技術のバランスが取れたセキュリティ対策を実施する必要があります。

  • ルール:
    テレワークを行う場合、オフィスとは異なる環境で業務を行うことから、そのセキュリティ確保のためには、新たなルールを定める必要がある。
  • 人:
    ルールを定着させるため、教育や啓発活動を通じてルールの趣旨を従業員自ら理解し、ルールを遵守することが自分にとってメリットになることを自覚させる。
  • 技術:
    技術面の対策は、ルールや人では対応できない部分を補完するものと考える。テレワークの活用方法を考慮し、利便性とセキュリティのバランスを取る。

以下、テレワークのセキュリティ対策を、経営者・システム管理者・テレワーク勤務者に分けて説明します。

経営者が行う対策

経営者の役割りとしては、全体方針の決定、体制の構築、費用の確保などを行います。さらに、危機感の共有、現状の把握、そして最終責任者であることの自覚なども重要です。

  • 情報セキュリティポリシを定める。
  • 組織で扱う情報を重要度のレベルに分け、取扱い方法を定める。
  • テレワーク勤務者に対して、定期的に教育・啓発活動を行う。
  • セキュリティ事故の発生に備えて、連絡体制や応急対応の体制を構築する。

システム管理者が行う対策

システム監視者は、「経営者が行う対策」に基づき実際にセキュリティ対策を実施して、定期的に監査を行い、見直しを行います。以下は、テレワーク勤務者を想定したセキュリティ対策です。まず、マルウェアに対する対策は以下になります。

  • Webフィルタを用いて、危険なサイトにアクセスさせない。
  • テレワーク用端末へは、許可したアプリケーションのみインストールさせる。
  • テレワーク用端末にウイルス対策ソフトをインストールし、定義ファイルを最新にする。
  • テレワーク用端末のOSやアプリケーションは最新の状態を保つ。
  • 重要なデータのバックアップを、社内システムから切り離した状態で保存する。

次に、盗聴や不正侵入に対する対策は以下になります。

  • テレワーク端末において無線LAN の脆弱性対策が適切に講じる。
  • 社内システムとインターネットの境界には、ファイアウォールやルータ等を設置する。
  • 社外から社内システムへアクセスする際は利用者認証を行う。
  • 社外から社内システムへのアクセス状況を監視し、不必要なアクセスを遮断する。

また、外部サービスの利用に対する対策は以下になります。

  • SNSなどの利用ルールやガイドラインを整備する。
  • ファイル共有サービスなどのクラウドサービスの利用ルールを整備する。

テレワーク勤務者が行う対策

テレワーク勤務者は、組織内で定められたセキュリティポリシやルールなどを十分に理解し、順守する必要があります。特に、留意すべき内容は以下になります。

  • 定められた情報のレベル分けとレベルに応じたルールに従って取り扱う。
  • セキュリティに関する教育・啓発活動に積極的に取り組む。
  • セキュリティ事故の発生に備えて連絡体制を確認する。
  • 社外に情報資産を持ち出す場合は、安全な場所に保存する。
  • 第三者のいる場所で作業を行う場合、端末の画面にプライバシーフィルタを装着するなど、画面の覗き見の防止に努める。

 

総務省|テレワークにおけるセキュリティ確保
IT
マネジメント、セキュリティ、ネットワーク、システム
散策路TOP
古典物理、量子力学、物性論、数学、応用数学、力学、電磁気学、相対論、熱・統計力学、解析学、代数学、幾何学、統計分析、情報

 

タイトルとURLをコピーしました