テレワーク導入を検討する企業の増加を受け、総務省では各企業の情報セキュリティ担当や経営者のサイバー攻撃やマルウェア感染、情報漏洩などへの不安を取り除くためのガイドラインを作成しています。その中で、より実践的な指針を求める中小企業の声に応えた「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」が発行されています。このチェックリストの概要と、チェックリストをどのように活用すべきかをお伝えします。
目次
今回のケース
テレワークの導入にあたり、「中小企業等担当者向け テレワーク情報セキュリティの手引き」を活用したいが、ボリュームがありすぎて何から手をつけてよいかわからない。見るべきポイントを知りたい。
( 1 ) テレワークセキュリティに関する手引き(チェックリスト)公開までの経緯
テレワーク導入の拡大にあたりセキュリティガイドライン公表
国が推奨する働き方改革の浸透などにより、テレワークを導入する企業は日に日に増加しています。テレワークの導入や活用にあたり、セキュリティ面での不安を払拭する目的で、総務省は「テレワークセキュリティガイドライン」を作成。社内ルールの制定、従業員に対するルールの周知徹底、各種危機管理技術の導入など、詳細に指針を提示しています。
参照:総務省「テレワークセキュリティガイドライン(第5版)」中小企業に対し、より実践的な指針を示したガイドライン
総務省では先に挙げたガイドラインに加え、「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を作成しました。これは、これまでテレワークを実施したことのない中小企業から、より実践的な指針を求める多くの声を受けたものです。これにより、中小企業のテレワーク導入が進むことが期待されています。
参照:総務省「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第3版)」( 2 ) チェックリストの目的と構成
チェックリストは、テレワークへの不安を軽減することを目的としています。導入する際の最低限必要な対策がまとめられ、これに沿って効率的にシステム構築を進めれば、テレワーク導入までのハードルを下げることができます。また、以下の想定読者像を設定しており、中小企業の多くのセキュリティ担当者に当てはまることが推測されます。
- 外部委託コストの捻出が難しい
- 専任のセキュリティ担当者が存在しない
- 抽象的な要求では対応すべき内容がわからない
- 基本的なIT用語知識はあるレベル
- 基本的なシステム設定作業は調べながら行うことができる
チェックリストの構成
<第1部>
複数の「テレワーク方式」から自社のテレワーク環境を確認する方法の紹介と各方式の詳細の説明および想定される脅威を解説。
<第2部>
テレワーク方式ごとに設けられたセキュリティチェック項目と設定例を解説。チェックリストを用いて自社の対策状況の確認が可能。
( 3 ) チェックリストの活用方法
まず何から始めればよいか知りたい、チェックリストを手早く確認したい場合の手順は以下のとおりです。
- 1:自社のテレワーク方式の確認
- 2:方式ごとのチェックリストで対応状況をチェック
- 3:未対応項目の対策のうち何を行うべきか確認
- 4:未対応項目に対する対策の優先順位付け
対策の優先度はセキュリティ重要度と実施難易度の組み合わせによって決定します。情報セキュリティ対策の対象範囲は、テレワークの導入や利用のために必要となるシステムや機器となります。
セキュリティ重要度
高い:実施することによる効果が高い
中程度:実施することによりある程度の効果が期待できる
実施難易度
高い:専門的知識が必要で、実装難易度が高く、追加コストが非常にかかる
高くない:ITセキュリティに関する知識が必要ではあるが、実装困難ではない
低い:必要とされる専門的な知識や追加コストなどの懸念が小さい
●最優先項目:◎
「セキュリティ重要度が高い」×「実施難易度が低い」もの
●優先項目:○
「セキュリティ重要度が高い」×「実施難易度が高くない」もの
「セキュリティ重要度が中程度」×「実施難易度が低い」もの
チェックリストではテレワーク環境において想定される脅威を「マルウェア感染」「不正アクセス」「盗難・紛失」「情報の盗聴」の4つに分類しています。以下の表はセキュリティ対策事項として、対策内容の分類、具体的な対策内容、どの想定脅威に対応しているかを示したチェックリストの一例です。このほかにも、テレワーク方式ごと、優先度ごとにさまざまなセキュリティ対策事項が示されています。詳しくは「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)」をご確認ください。
対策分類 | 対策内容 | 想定脅威 |
---|---|---|
マルウェア対策 | テレワーク端末にウイルス対策ソフトをインストールし、リアルタイムスキャンが有効になる設定としている。またウイルス対策ソフトの定義ファイルを自動更新する設定、もしくは手動で最新に更新するルールを作成している。 | マルウェア感染 |
物理セキュリティ | テレワーク端末に対してのぞき見防止フィルタを貼付し、離席時にはスクリーンロックをかけるようルール化している。 | 不正アクセス |
データ保護 | テレワーク端末(スマートデバイス)の紛失時に端末の位置情報を検出できるようにしている。 | 盗難・紛失 |
認証 | テレワーク端末のログインアカウントや、テレワークで利用する各システムのアカウントのパスワードは破られにくい「長く」「複雑な」パスワードを設定している。またパスワード強度を強制することが可能である場合は強制するように設定している。 | 不正アクセス |
( 4 ) テレワーク推進と情報セキュリティ対策の両立を実現
チェックリストに記載の対策はどのように行えばよいのでしょうか。テレワーク推進に必要な環境の構築と、情報セキュリティ対策の両立を可能にするための対策を、サクサ製品を例にとってご紹介します。
サクサでは、テレワークでもオフィス同様のセキュリティが実現できる多彩な機能を搭載した「UTM(統合脅威管理アプライアンス)SS7000Ⅲ」をご提案しています。
テレワーク時の安全なネットワーク構築(αシリーズ/オプション)
SS7000Ⅲでは社内ネットワークに直接接続できる「リモートコネクト」により、VPN(ヴァーチャル
プライベート
ネットワーク)環境を簡単に構築することができます。自宅から私物の情報端末で社内のネットワークにアクセス可能です。オフィス同様に会社内のIT資産を活用できます。
また、「エンドポイントセキュリティ」によって、個別の設定に頼ることなく私物の情報端末のセキュリティを高めます。UTMとエンドポイントのダブルガードで、さまざまなウイルスやフィッシングサイトなどの脅威を排除し、場所を選ばない働き方をサポートします。
サイバー攻撃などのセキュリティリスクに対応
SS7000Ⅲは1台で複数のセキュリティリスクに対応できるオールインワンツールです。
サイバー攻撃の脅威から社内ネットワークを守ります。また、社員のWebアクセスを制限し、危険なサイトアクセスやSNSや掲示板などへの情報漏洩を防ぎます。さらに最新のファームウェアへの自動更新、シグネチャ(ウイルス検知ファイル)の自動アップデートによって、リスクを軽減するとともに更新の手間も省けます。
( 5 ) まとめ
情報セキュリティ対策の基本と未対応な項目の優先順位がわかりやすくまとめられた総務省の「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を積極的に活用し、効率的にテレワーク導入を進めましょう。
サクサは、さまざまなセキュリティ製品のご提案を通して、最適な情報セキュリティ対策のサポートをさせていただきます。ぜひお気軽にご相談ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。