総務省「テレワークセキュリティガイドライン」を押さえたリスク対策

 > コラム > 総務省「テレワークセキュリティガイドライン」を押さえたリスク対策

総務省「テレワークセキュリティガイドライン」を押さえたリスク対策

公開日:2022/04/13   更新日:2024/02/05


総務省「テレワークセキュリティガイドライン」を押さえたリスク対策

2020年のコロナ禍以降、多くの企業においてテレワークの導入が推進されました。利便性が高い反面、テレワークの導入・運用を安全に行うためには、セキュリティ対策が必須です。

この記事では、セキュリティの考え方を紹介すると共に、セキュリティリスクや事故例についても解説します。さらに、セキュリティ対策に役立つ便利なツールも紹介するので、安全性で課題を感じているという方はぜひ参考にしてみてください。


1. テレワークセキュリティガイドライン(総務省)

テレワークセキュリティガイドライン(総務省)

社会でテレワーク需要が高まる中、総務省は2021年5月に「テレワークセキュリティガイドライン(第5版)」を策定しました。このガイドラインの目的は、企業などのテレワークの導入に際し、セキュリティ面における不安を解消することにあります。なお、記載されているのは主に以下のような内容です。

  • テレワークにおける検討課題
  • テレワーク方式の整理、解説
  • セキュリティ対策の整理、解説
  • トラブル事例と対策

上記のうち、「テレワークにおける検討課題」に関する項目では、導入にあたって取り組むべき対策や、「経営者」や「勤務者」などそれぞれが担うべき役割などが示されています。また、「トラブル事例と対策」に関する項目では、具体的なトラブル事例に基づいた上で、セキュリティ上の留意点や、対策などを示しています。次の項目では、セキュリティ面でのリスクと対策を中心に解説していきます。

参考:総務省【テレワークにおけるセキュリティ確保


2.セキュリティ対策の考え方

セキュリティ対策の考え方

企業としての情報を守るためにも、テレワーク環境下では、以下3つのセキュリティ対策を講じることが重要です。なお、総務省が公表している「テレワークセキュリティガイドライン(第5版)」においても、以下の項目に対する解説は記載されています。

  • ルール
  • 技術

セキュリティ対策では「攻撃されやすいポイントが、全体のセキュリティレベルの水準になる」という性質があるため、全体的な底上げを図ることが大切です。以下の項目では、上記3つの項目に関する特徴や対策方法について解説します。

ルール

テレワークのセキュリティ対策を行う上で、初期段階でのルール策定は重要です。ルールがない状態では、社員によって対応に違いが出てしまうためです。また、セキュリティ問題を適切に解消するには専門性が問われるため、場当たり的な対応は非効率的でもあります。万が一、トラブルへと発展した場合、企業として損失が出る可能性もあるでしょう。

そのため社員が守るべきルールを作成し、規定に沿って作業を行うことで、安全に仕事が進められる環境を作ることが大切です。ルールを守るための対策方法として、基本方針や実施手順などが明記されたガイドラインを、自社独自に作成すると良いでしょう。ガイドラインで改訂すべき箇所が発生した場合、その都度版を重ねていけば最新のルールを社員が常に共有できます。

また、プライバシーマークやISMS(ISO27001)の取得も有効です。プライバシーマークは個人情報を大切に取り扱う事業所であること、ISMS(ISO27001)は、情報セキュリティに関するルールが整備および実施されていることを明確にします。認証や更新のために、都度社内運用について見直す機会になるのです。

人、つまり社員に対する対策は、テレワーク下のセキュリティ対策における一番重要なポイントとも言えます。なぜなら、仮に安全性を確保できるルールを作成したとしても、遵守する側の社員が規定外の行動を取ると、十分な効果が発揮できないためです。自社のオフィスなどで作業する場合、情報が漏洩するリスクは低いですが、テレワークでは社員がルールを守ることが絶対条件となってきます。

人への対策方法としては、コンプライアンス教育を実施することが大切です。そもそもコンプライアンスという言葉には「法令遵守」の意味があります。企業におけるコンプライアンスには、自社が独自に定めたルールを遵守することはもちろん、社会通念上のルールを守ることも含まれます。

特にテレワークではデジタルツールを使った連絡がメインとなるため、コンプライアンス意識に基づいた上での自覚的な行動を促すことで、情報漏洩リスクなどを低減できます。

技術

技術面における対策も大切です。技術面の対策がしっかり取られていないと、ウイルス感染などのリスクが高まってしまいます。対策例としては、以下の3つが挙げられます。

  • データを暗号化させる
  • インターネット回線は安全性の高いものを使用する
  • ウイルス対策ソフトを導入する

ハードディスク内のデータを暗号化させることは、技術面におけるセキュリティ対策として高い効果があります。また、高い安全性を担保できるインターネット回線を使うことも大切。攻撃されやすいインターネット回線を使ってしまうと、外部からアクセスされる原因にもなるからです。

さらに取り組みを進めるにあたって、ウイルス対策ソフトの導入は不可欠です。具体的には、不正アクセスに対する検知機能などを持つウイルス対策ソフトを導入すれば、リスク回避の効果が大きいでしょう。


3. テレワークのセキュリティリスクと事故事例

テレワークのセキュリティリスクと事故事例

テレワーク環境下で発生しうるセキュリティリスクとして、主に4つのリスクが挙げられます。

  • 端末の盗難・紛失
  • 情報漏洩
  • 不正アクセス
  • ウイルス感染

以下の項目では、4つのリスクの事故事例をそれぞれ解説した上で、対策方法についても紹介します。安心安全にテレワークを導入するためにも、ぜひ参考にしてください。

端末の盗難・紛失

端末の紛失事例として、2014年4月、ある家具家電メーカーが個人情報を含むノートパソコンを紛失した事件がありました。このノートパソコンには、個人情報と取引先の氏名、電話番号、メールアドレスなどが記録されていました。対策方法には主に以下が挙げられます。

  • データ保護
  • アカウント・認証管理

「データ保護」の観点から考えると、外部からセキュアに会社端末へのアクセスができれば、会社端末を持ち出す必要がなくなり、紛失・盗難に伴うリスクを軽減できるのです。

また、セキュリティ機能があるUSBを使えば、認証に規定の回数失敗した場合、端末上のデータを消去したり、一定時間ロックしたりする機能が備わっているため、紛失・盗難に伴うリスクを低減できます。

情報漏洩

2020年、日本国内の大手企業も含め、世界900社のパスワードやIDなどの認証情報が漏洩する事件がありました。これは、VPN装置の脆弱性が原因で、日本企業でも40~80社が被害を受けたとされています。テレワーク環境下において、VPNは比較的安全性が担保されたネットワークとされていたため、多くの企業に衝撃をもたらす事例となりました。

一般的な企業における情報漏洩の対策としては、主に以下3つがポイントとなります。

  • 物理的セキュリティ
  • データ保護
  • アクセス制御・認可

「物理的セキュリティ」としては、パソコン画面のプライバシーフィルターの貼り付けや、自動ロック設定が効果的です。在宅ワークを行う際も、家族から意図せず情報が漏れる可能性もあるため、コンプライアンス教育を実施しておきましょう。

また、「データ保護」として、テレワークで扱う端末の取り扱いについて、明確なルールを決めておくことが大切です。例えば、「データが入っている会社端末を持ち出さない」「テレワークで利用する端末にはデータ保存や印刷ができない」などのルールが挙げられます。

不正アクセス

ホテルやカフェなどの無料Wi-Fiを利用することで、社内ネットワークへ不正アクセスされる事例もあります。無料Wi-Fiは不特定多数の人が利用できるため、乗っ取られたネットワークを経由して、端末から情報を盗まれる可能性があるのです。特にホテルなどの無料Wi-Fiは、利便性に優れている反面、セキュリティ面が弱いケースもあります。また、不正アクセスの手口の一つとして、偽のWi-Fiルータを設置し、情報を盗み取る場合もあります。

そのため、無料Wi-Fiを利用する際は、「相互認証済みを確認した上で使う」といった注意が必要です。また、対策方法としては「通信の保護・暗号化」が有効です。例えば、データの送受信やクラウドサービスへの接続を実施する際、暗号化された通信経路を使うことで、不正アクセスのリスクが低減できるでしょう。

2021年には、大手の婚活マッチングサービスが不正アクセスの被害を受け、170万件を超える会員情報が漏れたという事件も発生しています。被害を防ぐためにも、最新のセキュリティレベルに合わせた対策が不可欠です。

ウイルス感染

2022年3月、大手自動車メーカーであるトヨタでは、ウイルス感染の影響により、国内全ての工場を一時停止する事態が発生しました。その原因は、1次受け入れ先である部品メーカー1社が、身代金要求型のウイルスである「ランサムウェア」に感染したことでした。この「ランサムウェア」の特徴は、システムのロックや、保存データの暗号化を行い、復元の代償として金銭を要求するというものです。2021年の報告件数が146件に及ぶなど、全国でも被害が増えつつあります。

ウイルス感染の対策方法には、以下の3つのポイントが挙げられます。

  • 脆弱性管理
  • データ保護
  • マルウェア対策

「脆弱性管理」としては、テレワークで使用する端末の定期的なアップデート、およびパッチ適用を行うことなどが大切です。また、マルウェア(悪意のあるソフトウェアや悪質なコードの総称)の対策として、ウイルス対策ソフトの搭載や、メールサービスのフィルタリング機能を活用することがポイントとなります。


4. テレワークのセキュリティ対策に役立つツール

テレワークのセキュリティ対策に役立つツール

テレワークのセキュリティ対策を検討しているのであれば、リモートコントロールツールが便利です。なぜなら、会社端末でセキュアに接続してリモート操作が可能なためです。また、私物端末(BYOD)からの接続もできます。

以下の項目では、リモートコントロールツール「NetSupport Manager」の特長や、導入事例を紹介します。

「NetSupport Manager」がおすすめ

リモートコントロールツール「NetSupport Manager」の主な特長は以下の3つです。

  • 金融機関や軍でも採用される高いセキュリティ性
  • セキュリティには、PINコード認証、スマートカード認証や256ビット暗号化などを採用
  • テレワークで使えるサーバー機能「ゲートウェイ」を同梱

世界各国で使用されている「NetSupport Manager」は、そのセキュリティ性の高さから、海外では金融機関や軍でも活用されています。PINコードやスマートカードの暗証番号を、接続ユーザーの認証で使ったり、56ビットDES~256ビットAESまでのデータの暗号化が可能であったりと、安全機能が充実しているのです。

また、同梱されている「ゲートウェイ」をサーバーとして使えば、外部の環境でも安心・快適に業務を進められるでしょう。

>>NetSupport Managerを詳しく見る

「NetSupport Manager」導入事例

東京都内に本社を構えるIT企業のA社では、2020年4月の政府による緊急事態宣言をきっかけに、「NetSupport Manager」を導入しました。もともとA社では、顧客対応用に同ツールの利用を10年ほど行っていたこともあり、テレワーク実施手段の検討から最終周知と機材配布まで、わずか4日営業日で完了しています。

導入効果として、セキュリティ性にも言及されています。「NetSupport Manager」では、クリップボードやファイル転送を禁止する機能をユーザー側で設定可能です。そのため、会社のPCからファイルや機密情報がコピーされて、外部へ流出する事故を防止できます。また、セキュリティ機能を社員などが勝手に変更できないよう、パスワードロックの設定も可能なのです。

その他、情報通信業の導入事例では、「通信暗号化強度の設定や、遠隔操作時の機能制限など、情報漏洩の観点からも安心して利用できる」という声も寄せられています。


5. まとめ

まとめ

テレワークにおいて、セキュリティ対策の全体のバランスを取るためには「ルール」「人」「技術」の3つのポイントを押さえておくことが大切です。また、企業の情報資産を流出させないためにも、情報漏洩やウイルス感染などに対応できるセキュリティ対策を施す必要があります。

「NetSupport Manager」は、高い安全性から海外では金融機関や軍でも使用されているリモートコントロールツールです。ユーザー側での細かな設定も可能なので、自社のニーズに合わせたカスタマイズができます。これからテレワークを安全に開始したい、もしくはセキュリティ面の課題を解決したいという方は、ぜひ導入をご検討ください。


製品版と同じ機能を30日間自由にお試しいただける「無料体験版」を公開しています。
お気軽にダウンロードしていただき、設定や操作方法をご確認ください。