※以下に記載するのは、総務省の「テレワークセキュリティガイドライン（第4版）」をシンプルに、わかりやすく要約したものです。
自社に取り入れる際は、必ず同ガイドラインの内容をご確認ください。

総務省のテレワークセキュリティガイドラインで最も重要視されているのは、「ルール」「人」「技術」の3要素を、バランスを取って対策することです。

セキュリティの専門家ではないメンバーが、業務においてセキュリティ面で安心かどうかを都度判断することは効率的ではなく、かつ正しい判断が難しいといえます。

そのためルールを設定することで「ルールを守ることを意識する」ことに集中するだけで、安全に仕事を進めることができます。

ルールを定めても、実際に実行する人が内容を遵守しなければ、絵に描いた餅といえます。

きちんと守ってもらうには、本人がルールを守ることでどのようなメリットがあるか、きちんと納得できる形で提示する必要があります。

技術は、ルールと人とでは埋められない個所を補完するものです。

脅威に対して「認証」、「検知」、「制御」、「防御」を自動的に実施するもので、アナログからデジタルなものまで広く含みます。

牛乳パックのどこか1面でも中段に穴が開いていたら、他の面が大丈夫でも中の牛乳が中段まで漏れてしまうように、セキュリティも最も低いレベルに揃ってしまいます。

例１：きちんとルールを設定し、堅牢なセキュリティシステムを導入していても、社員が飲み屋で機密情報を話してしまうと、情報漏えいとなる

例２：きちんとルールが設定され、社員の教育や意識がしっかりしていても、セキュリティソフトが適切に設定されていなければ、マルウェアの餌食になってしまう

現在の自社において、上記の観点でどこが弱いのかを客観的な目線で確認し、今後の方針を定める必要があります。

テレワークには「PCなどのテレワーク用の端末へのデータ保存の有無」「オフィスで利用するPC端末との関係」と、「クラウドサービスを利用するかどうか」の3要素の組み合わせによって分類された、計6種類のパターンがあります。

1. リモートデスクトップ方式

   オフィスにある端末を、社員の自宅等から遠隔操作します。

2. 仮想デスクトップ方式

   テレワーク用の仮想端末を、社員の自宅等から遠隔操作します。

3. クラウド型アプリ方式

   DropboxやGoogleドライブなどのオンラインストレージや、その他クラウドサービスを利用して業務を行います。

4. セキュアブラウザ方式

   クラウド型アプリ方式と似た方式ですが、特殊なブラウザを用いることで、テレワーク端末のローカル環境にファイルをダウンロードしたり印刷したりできなくする方式です。

5. アプリケーションラッピング方式

   テレワーク端末内に「コンテナ」と呼ばれる独立した仮想環境を構築し、その中で業務用アプリケーションを動作させる方式です。

6. 会社PCの持ち帰り方式

    

情報システム担当者は、自社の環境に応じて適切な方式を検討し提案を行う必要があります。

テレワークにおける情報セキュリティは、情報システム担当者のみが考えるべきものではありません。

中には経営層レベルでの判断が必要となる他、実務を行うスタッフにおいても、業務において意識を高く維持し続けなければなりません。

ガイドラインに書かれているポイントとしては次のようなものがあります（部分的に抜粋）。

ルールを作る立場にいることを自覚し、必要な対策をルールとして定めていかなればなりません。

• 情報セキュリティポリシーの策定と見直し
• 教育・啓蒙活動の実施と訓練
• 必要な人材や資源に対する適切な予算配分

システム全体を管理する担当者として、テレワーク時のアクセス性の高さと不正侵入、ウイルス蔓延などの脅威に対するリスクへの対応を両立させる必要があります。

• マルウェアに対する対策の実施
• 端末の紛失・盗難に対する対策
• 重要情報の盗聴に対する対策
• 不正アクセスに対する対策
• 外部サービスの利用に対する対策

ポイントは情報システム担当者とほぼ同様である一方、オフィス勤務時は簡単にできていたシステム担当者への相談がやりにくくなっていることを踏まえ、自身で情報を管理することの重要性を自覚し実施すべき対策を理解する必要があります。

• マルウェアに対する対策
• 端末の紛失・盗難に対する対策
• 重要情報の盗聴に対する対策
• 不正アクセスに対する対策
• 外部サービスの利用に対する対策

さらに、セキュリティ対策のポイントとして、総務省が具体的な例を挙げていますので、そちらもご参照ください。

社内の情報セキュリティ体制を整える場合、システム導入が絡んでくることが一般的です。

こうした場合の負担を軽減できる補助金・助成金をご紹介いたします。

詳細： https://www.it-hojo.jp/

中小企業・小規模事業者等が、自社の課題やニーズに合ったITツールを導入する経費の一部を補助することで、企業の業務効率化・売上アップをサポートすることを目的とした補助金です。

かかった費用の1/2、最大450万円までを補助してくれるものになります。

※テレワーク導入目的であれば最大3/4まで補助を受けられる場合もあります

受給要件に独立行政法人情報処理推進機構（IPA）が実施する「SECURITY ACTION」の「★一つ星」要件である「情報セキュリティ対策5か条」に関して取り組むことに同意することが入っているため、自社が取り組んでいるかどうかについて確認したうえで申請を行う必要があります。

また、東京都限定ではありますが次のようなセキュリティ面に特化した助成金も設けられています。

詳細： https://www.tokyo-kosha.or.jp/support/josei/setsubijosei/cyber.html

中小企業者等が自社の企業秘密や個人情報等を保護する観点から構築したサイバーセキュリティ対策を実施するための設備等の導入を支援する助成金です。

助成対象経費の1/2以内、最大1,500万円を助成してくれます。

※標的型メール訓練においては別途規定

対象はサイバーセキュリティ対策を実施するために必要となる次の機器等の導入、およびクラウド利用に係る経費です。

• （1）統合型アプライアンス（UTM等）
• （2）ネットワーク脅威対策製品（FW、VPN、不正侵入検知システム等）
• （3）コンテンツセキュリティ対策製品（ウイルス対策、スパム対策等）
• （4）アクセス管理製品（シングル・サイン・オン、本人認証等）
• （5）システムセキュリティ管理製品（アクセスログ管理等）
• （6）暗号化製品（ファイルの暗号化等）
• （7）サーバー（最新のOS塔載かつセキュリティ対策が施されたものに限る）
• （8）標的型メール訓練

助成対象業者は、IPA（独立行政法人 情報処理推進機構）が実施しているSECURITY　ACTIONの２段階目（★★二つ星）を宣言している都内の中小企業者・中小企業団体です。

中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる！情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針を定め、外部に公開することが要件となります。

総務省は、何年も前からテレワーク推進の立場を取り、同時にセキュリティレベル向上のためにガイドラインを策定して公開してきました。

同時に補助金や助成金などを導入し、昨今は特に、セキュリティに対する投資のハードルは下がっている状態といえます。

テレワーク推進の機運が高まる現在、セキュリティレベルを向上させることで、自社としての安心感だけでなくクライアントから見た安心感も改善します。

ぜひ積極的に導入を検討してみてください。