テレワーク研究所

TOP >  セキュリティレベルを落とさずにテレワークを実現しよう

セキュリティレベルを落とさずにテレワークを実現しよう

テレワークのリスクに応じたセキュリティ対策とは

セキュリティレベルを落とさずにテレワークを導入することは、安易に出来ることではないでしょう。例えば家庭用のPCのように、アンチウィルスソフトをインストールするだけで済むというようなものではないからです。

セキュリティインシデントの原因の中で内部不正は最も多く、特にテレワークは周囲に監視する人がいないため内部不正による情報漏洩のリスクが高くなります。そして、内部不正による情報漏洩のリスクに応じたセキュリティ対策をするためには、経営方針や社内規定や業務プロセスを整え、人や技術への対策をすることが必要になります。

経営方針を整えるとは、テレワーク導入に必要な機器などをはじめとするリソースの整備をしたり責任や権限を決めたりといったことも含めて、経営者が情報セキュリティ戦略を承認するということです。社内規定の整備には、職務規定・情報セキュリティポリシー・事件事故対応の分野での規定の見直しや策定が含まれます。

人への対策とは誓約書の提出、教育・啓発の実施、事件や事故が起こった時に内部通報をする、何かが起こった場合には改善するように求めたり懲罰を与えたりすることです。技術対策とは操作のモニタリングやユーザー端末へのプライバシーフィルターの装着、ログの監視やデータの復旧などが挙げられます。

また、セキュリティ対策にはその会社にとっての基準が必要です。会社の基準が無いのにテレワークのセキュリティ対策をしても、会社全体としてのセキュリティレベルはバラバラになってしまうからです。

そのため、まずは会社としてのセキュリティ対策のベースライン・現状の評価・目標とするセキュリティレベルを定め、目標と現状とのギャップを抽出して対策を決め、それを実行するためにはどのくらいの予算でいつまでに実行すべきかを工程表で示すことになります。

テレワークのセキュリティ対策は、これらの工程の中で実施されます。

 

参考にしたいガイドライン

セキュリティレベルを上げることが、売上上昇や経費削減に直結することはないでしょう。そのため、会社としてのセキュリティ対策のベースラインを定めるにあたって、どれくらいのセキュリティレベルを求めるかは判断に悩むかもしれません。

そこで参考にしたいのは、同業他社のセキュリティレベルです。同業他社のセキュリティレベルを参考にしてそれよりやや上を目標にすれば、大きく判断が外れることはないはずです。

さらに、会社全体のセキュリティ対策のベースラインを定めるにあたって参考になるのはセキュリティフレームワークです。世界中で最も多く採用されているフレームワークはISMS/ISO27001であり、日本でも大変人気があります。

それは、この認証を取得している企業の数が世界で最も多いのが日本であることからもわかります。逆に北米では、NISTサイバーセキュリティフレームワークを採用している企業が急増しています。どちらを選ぶかは、その会社がどのようなベースラインを定めたいかで判断しましょう。

例えばISOは管理体制に焦点を当てているのに対して、PCIDSSはクレジット業界を対象としたセキュリティ対策が具体化されています。さらにNISTは、ISOとPCIDSSの内容がバランスよく含まれています。

この他にも、金融庁や経済産業省や総務省が監督指針・管理基準・ガイドラインを定めていますが、それぞれ守備範囲が異なっています。そのため、各業界に適したガイドラインを組み合わせて参考にすると良いでしょう。

同業他社のセキュリティレベルや各種ガイドラインを参考にした上でベースラインが決まると、やっとセキュリティ対策をするにあたっての具体的な検討が出来ます。

つまりテレワークの範囲をどこまでにするか、会社から端末を支給すべきかどうか、機密情報や個人情報を扱う場合にVPNとVDIのどちらで接続するのかなどを判断するということです。他にも、クラウドの採用やペーパレス化も検討課題に挙げられます。

 

関連記事