情報漏えい対策

テレワークを実施しながら
ISMS認証は取得できる?

法人のお客さまに起こりがちな状況

コロナ禍によってテレワーク体制を構築したいけれど、セキュリティレベルの高さを対外的にアピールしたいのでISMS認証も取得したい、と言うケースがあります。

テレワークは社員の作業環境を統一できなかったり監視体制の構築が難しかったりなど情報セキュリティの規格であるISO27001とは確かに相性がよくなさそうなイメージがあります。

しかし、実際のところはどうなのでしょうか?今回はテレワークとISMS認証の両立について可能かどうか?そして両立のためには何が必要かをお伝えします。

テレワークを実施する企業は急激に増加している

パーソル総合研究所の調査によると、昨年11月時点でテレワーク実施率は全国平均で24.7%となっています。緊急事態言宣言発出前の3月の調査では13.2%だったことを考えると、8カ月で約2倍になっている計算です。

参考:https://rc.persol-group.co.jp/news/202012160001.html

この調査がデスクワーク中心の業界だけではなく、接客業や医療関係の業務などに従事している人も含めたものであることを考えると非常に高いテレワーク実施率と言えるのではないでしょうか。

政府の不要不急の外出を控える指示や各都道府県による支援策、また企業としてのリスクやCSRの観点からも、テレワークの実施率は高止まりしている状況です。

テレワークに潜んでいるリスクとは?

この1年程で加速度的に実施率が高まったテレワークですが、社内での業務と異なりさまざまなリスクがつきまといます。

これは事業所が端末やネットワーク、就業環境を任意に設定できることに対し、主に社員個々人の家庭で行うテレワークはセキュリティレベルに大きな差異が発生しやすいからです。

例えばルーターのパスワードがデフォルトの物だったり、通信が暗号化されていなかったりといったネットワークの問題から、自宅PCを用いた作業を行う場合に端末にセキュリティソフトが入っていない、または更新が適切に行われていないなどのケースまで実際に想定して対応を検討しなければなりません。

JIPDEC(一般財団法人日本情報経済社会推進協会)によると、テレワークにおける脅威は大きく分類して4つに大別されます。

  • マルウェア(ウイルス・ワーム等)
  • 端末の紛失・盗難
  • 重要情報の盗聴
  • 不正アクセス

これらは必ずしもテレワーク固有のリスクではありませんが、これらは環境がセキュリティ体制の整った事業所内とは異なる環境下におかれたテレワークによってリスクが高まる脆弱(ぜいじゃく)性を秘めています。

ISMSでは情報セキュリティの3要素として「完全性」「機密性」「可用性」を挙げていますが、「重要情報の消失(完全性)」「情報漏えい(気密性)」「作業中断(可用性)」といった形でリスクが高まってしまうと述べています。

参考:https://itc.jipdec.or.jp/common/images/20180530_yamauchi.pdf

ユーザーにとっては普段の業務と同様の意識で行っているかもしれませんが、自宅での作業は社内とは異なることを意識してもらい設定されたガイドラインに従い適切な注意を払うこと、何か不明な点や挙動があればすぐに相談することなどを徹底してもらう必要があります。

ISMS(情報セキュリティマネジメントシステム)認証はテレワーク環境でも取得可能

テレワーク実施の場合、気になるのが先述のセキュリティリスクです。

特に個人情報を扱っている企業の場合、顧客から見た時の安全性の担保のため事業所でISMS認証の取得を目指す場合がありますが、テレワークの場合は個人宅を事業所として取得するわけにもいきません。

しかし、実際のところテレワーク環境下でもISMS認証を取得することは可能です。

ISO27001ではテレワークの扱いについても記載があるため、該当項目を確認のうえきちんと対策すれば認証取得ができるのです。実際に大手の企業にはテレワークを導入しながらもISMS認証を取得している企業も存在します。

ISMS認証取得のために行うべきセキュリティ対策

テレワーク環境下でISMS認証のために構築するべきセキュリティ体制の構築には経済産業省が出している「情報セキュリティ管理基準(平成28年改正版)」が参考になります。

参考:情報セキュリティ管理基準(平成28年改正版)

この中の「6.2 モバイル機器及びテレワーキング 」の項にある内容はISO27001附属書AとISO27002を受けて発行しているもののため、こちらの内容を基に対策を検討するのが良いでしょう。

モバイル機器の取り扱いについては「ソフトウェアのインストールの制限」「モバイル機器のソフトウェアのバージョン及びパッチ適用」「暗号技術」「マルウェアからの保護」などのような基本的な対策から「重要度の高い、取扱いに慎重を要する又は影響の大きい業務情報が入っているモバイル機器は、無人の状態で放置しない」などの運用面に関わる指示まで記載されており、社内の運用マニュアル作成にも役立ちます。

同様にテレワークの運用についても「テレワーキングを行う場合の条件及び制限は、適切と考えられ、かつ適法な場合には、マルウェアに対する保護及びファイアウォールの要件を考慮して定める。」などの情シスが担当するべき領域での対応方法から「テレワーキングを行う場合に考慮すべき指針及び取決めには、保険の用意を含める。」などの経営層が判断すべき内容まで網羅されています。

情シス担当者として行うべき内容を大まかにピックアップすると、

  • 暗号化、監視サービス導入などネットワーク環境の設定
  • セキュリティソフト導入などの端末のセキュリティ向上
  • バックアップと冗長化体制の構築
  • 紙媒体の資料や印刷物の取り扱いについてのガイドライン作成
  • 情報セキュリティ教育の実施

などが挙げられます。

詳細は実際に確認いただくのが一番ですが、しっかりと対応すればテレワークにも対応しつつセキュリティレベルを外にアピールすることが可能になります。

テレワーク体制×ISMS認証取得で働きやすさと安心の両立を

テレワーク体制は今やBCPの観点から見ても意義がある取り組みとなっています。

そのうえでISMS認証を取得していることを示すことができれば、対クライアントに対しても先進的な取り組みを行いつつ高い情報セキュリティレベルを構築できる体制を持っていることをアピールできるなど企業としてもプラスの側面が大きい取り組みになります。

情シス担当者として企業の価値向上に貢献できる機会なので、しっかりと腰を据えて取り組んでみてください。また、その際はセキュリティソフトの選定・導入についても同時に行いセキュリティレベルをきちんと維持できるように取り組みましょう。

トレンドマイクロからのアドバイス

テレワークで重要なことは、セキュリティを維持しつつ業務の流れが滞ることを最小限に抑えることです。

トレンドマイクロではマルウェア対策や不正アクセス防止に必要不可欠な様々なソリューションを提供しています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させた製品です。

管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品で、テレワーク用に準備した会社の端末にインストールすることが可能となっています。

また、従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

パフォーマンスを損なわずにDC、クラウド、 コンテナ保護

Trend Micro Cloud One - Workload Security™は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。

※すべての未知の脅威に対応するものではありません

また、トレンドマイクロではExchange Onlineを使用しているお客様向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。

ご活用いただける環境にありましたらぜひお試しください。

Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視

Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。

検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り