情報漏えい対策

IPAの資料から読み解くテレワーク時に注意すべきセキュリティ対策

  • TOP
  • 課題から探す
  • IPAの資料から読み解くテレワーク時に注意すべきセキュリティ対策

法人のお客さまに起こりがちな状況

コロナウイルスの流行により急きょ情シス担当としてテレワークの体制を整え実行してはいるものの、これで正しいのかについては自信がないという方は少なくないのではないでしょうか?

実際、ウェブ上にあるテレワーク時のセキュリティについての記事は読んだものの、自社と環境が違うため参考にならないケースも多く、悩んでいる方は多いようです。

こうした基本的な部分でまず取り組むべきことが何なのか基礎をきちんと把握したい方のためにIPAは「テレワーク時のセキュリティに対する考え方」を掲載してくれています。

今回はその内容をひもとき、具体的に何から取り組むべきなのかについて解説します。

IPAの立ち位置とテレワーク時のセキュリティに対する考え方

IPAは経済産業省所管の独立行政法人で情報セキュリティ対策等に関する政府の唯一の実務実施機関です。

「情報セキュリティ対策」「情報システムの信頼性向上」「IT人材育成」を主要な事業として掲げており、脆弱(ぜいじゃく)性情報については、米国当局とデータを取得・交換。

米国に匹敵するデータベースを構築しています。

IPAはコロナウイルスの流行により大企業から中小企業までテレワークの実施が不可避となった中2020年4月21日に「テレワークを行う際のセキュリティ上の注意事項」を掲載しました。

その中身は大企業のようなテレワークについてある程度環境が整備されている状況のみならず、本格的な環境が整備されていない状況も想定した現実的な注意喚起を行っています。

中小企業の情シス担当としてはまずこの資料を確認のうえ、自社の現状と照らし合わせて対策に抜け漏れがないか、よりセキュリティを高める方策がないかを確認するのがベターと言えます。

次の項からは、この資料を基に「何をアクションとして実行するべきか」についてまとめていきます。

テレワーク開始時に注意しておくべきこと

テレワーク開始時に実行しておきたいことは以下の通りです。

規定やルールを作成し、アナウンスすること

端末の配布やVDIの構築、またはVPNでの接続が可能だった場合であっても、社員のITリテラシーレベルがそろっているとは限りません。

考え方やガイドライン、ルールを作成したうえでその内容を周知しなければセキュリティレベルの維持は難しいのが実際のところです。

そのため、不明点がある場合は自己判断せずシステム管理者に相談するように案内し、窓口をきちんと整備することが重要になります。

規定やルールがあっても判断が難しいケースはいくらでも存在するため、ちょっとでも不明点があったら必ず相談できるようにオープンな窓口を作成しておくのが情シス担当としての役割と言えます。

可能であれば事前に各部門の長とコミュニケーションを取り、相手が相談しやすい環境を作っておくとスムーズに対応が可能になるでしょう。

日常における情報セキュリティ対策を実施すること

修正プログラムの適用やセキュリティソフトの導入、パスワードの適切な管理や社内ネットワークへの接続ルールの順守等、普段の業務において当たり前のように行っている内容であっても、テレワーク環境下でも適切に実行されるとは限りません。

IPAがユーザとしての「日常における情報セキュリティ対策」のやり方を公開しているので、参考にしたうえで自社に応じて修正を行い周知・実施してもらうのが手間もかからない方法ではないでしょうか。

自宅環境がテレワーク実施可能かどうかの確認と実施不可能となった場合のケア

会社側でテレワーク環境が整っている場合であっても、実際に作業する環境は各ユーザそれぞれの自宅環境がベースとなります。

中には自宅には固定のインターネット回線を引いていないメンバーや、モバイルルータを利用していて月のパケット上限が定められているケースなども想定しておかなければなりません。

情シス担当としては社員それぞれの自宅環境がテレワーク実施可能かどうか、また実施不可能となった場合に公共の場で作業する必要がある場合の注意点についてもケアが必要と言えます。

<自宅がテレワーク実施可能な場合>

回線の有無や回線速度などが問題ない場合はテレワーク実施可能と言えます。

会社にノートPC等の備えがなくユーザの個人端末を利用してもらう場合はOSのアップデートやセキュリティソフトの導入状況などを事前に確認しておく必要があります。

また、OSのサポートが切れている場合やセキュリティソフトが無料の物を使用しているケースも想定されます。

想定問答集を準備し会社としてのポリシーを回答として用意しておくことが重要です。

併せてルータのファームウェアアップデートなどについても確認し、必要であれば主要なメーカーの手順ページのURLをメールするなどサポートを行うなどの対応も検討しておいた方が良いかもしれません。

<自宅がテレワーク実施不可能な場合>

自宅にインターネット回線を引いていない、モバイルルータのみで上限があるなどの場合にテレワーク実施が不可能となるケースも当然あり得ます。

可能であれば会社としてそうしたユーザに対しては法人契約したモバイルルータなどを配布し利用してもらうのがセキュリティ面においては安心できる方法と言えます。

しかし予算の問題やモバイルルータのレンタルが間に合わないなどの場合、ポリシー上自宅外での作業が問題ないかどうかを経営判断として意思決定する必要があります。

また、もし自宅外の作業がOKとなった場合も作業が認められる環境はどのような場所かについてガイドラインを設けなければなりません。

ファイル共有機能のオフやVPN接続の徹底などルールを別途検討し、運用するようにしてください。

テレワーク終了時に注意しておくべきこと

テレワークの際注意しておかなければならないのは、開始時、運用時だけではなく終了時についても同様です。

実際今年8月に三菱重工で発生したインシデントではテレワークした後に出社した際に発生しており、典型的なテレワーク終了時の事故ケースと言えます。

こうしたパターンを防ぐため、事業所への出社前に実行しておくべきことを定め、チェックシートとして配布しておく必要があります。

IPAが出している資料では以下を注意すべきとなっています。

  • 職場から提供されたPCを使用していた場合は以下を実施しておくこと
    • OSやアプリのアップデート
    • セキュリティソフトの定義ファイルアップデート
    • ウイルスチェック
  • その他会社からアナウンスされている規定やルールを順守すること
  • 個人のPCで作業してもらっている場合、保存しているデータやメールの取り扱いについてルールを定めておくこと。
    特に以下についてはセキュリティ面も含めて事前に定めておくことが望ましい。
    • 会社の端末へのデータの受け渡し方法
    • 個人PCに補完された業務データの削除手順
    • USBメモリを使用する場合はセキュリティに厳重な注意を払うとともに紛失に十二分に注意すること

こうした内容を事前に定め、周知徹底することこそが安全な運用に必要な内容となります。

環境は企業それぞれで千差万別。リソースを最適化し現実的なセキュリティ対策を

本サイトの別の記事でも記載している通り、テレワークのセキュリティにおいて重要視されているのは「ルール」「人」「技術」の3要素で、セキュリティレベルはその中で「最も低いレベル」にそろってしまうことになります。

この中で「技術」についてはコストとの兼ね合いも出てくる部分のため現実的な対応可能範囲を経営層と検討しておくことが重要です。

同時に「ルール」と「人(教育)」は自社の中で進められる部分であり、統一環境が構築できないテレワークにおいてはここがボトルネックとならないよう整備に取り組むのが最善策と言えます。

テレワークについてこれからという企業も現在実施しているという企業も、今回ご紹介した内容を参考にしていただき、もし不足している部分があれば早めに手を付けて体制を整えていただければと思います。

トレンドマイクロからのアドバイス

テレワーク時のセキュリティ体制を整えるには、まずは端末の保護、そしてそこから接続される各種アプリケーションやサーバに対するセキュリティ対策が必要です。

トレンドマイクロでは、現時点で不足しているポイントに対して効果的な対策を行えるさまざまなソリューションをご用意しています。

自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

VBBSS:ウイルス・スパイウェア対策からデバイスコントロールまでオールインワン

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は、中小企業・中堅企業に求められるセキュリティ機能をオールインワンで持ち合わせ、さらに管理者の負担を軽減できる「軽くて・強くて+管理負担が少ない」セキュリティ製品です。

Apex One SaaS:先進技術と高い実績を融合により、強力なエンドポイント保護を実現

Trend Micro Apex One™ SaaSは、先進技術と実績ある技術を融合したXGen(クロスジェネレーション)のセキュリティアプローチにより、さまざまな脅威に対して広範な保護を提供し、検出から対応までをシームレスに対応できる法人向け総合エンドポイントセキュリティサービスです。

Cloud One - Workload Security:パフォーマンスを損なわずにDC、クラウド、 コンテナ保護

Trend Micro Cloud One - Workload Security™(Cloud One - Workload Security)は脆弱性や不正プログラム及び不正な変更などの脅威から、仮想・物理・クラウド及びコンテナ環境のハイブリッド環境を防御できるソリューションです。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り