「テレワークセキュリティガイドライン(第4版)」では、セキュリティ対策の大枠を示したうえで、具体的なセキュリティ対策として、マルウェア、端末の紛失・盗難、重要情報の盗聴、不正アクセス、外部サービスの利用に対する対策を紹介している。
セキュリティ対策の大枠のポイント
セキュリティ対策の大枠において核となるのが「セキュリティポリシー」だ。テレワークの実施にかかわらず、企業として、セキュリティポリシーを定めておく必要がある。
セキュリティポリシーは、全体の根幹となる「基本方針」、基本方針に基づき実施すべきことや守るべきことを規定する「対策基準」、対策基準で規定された事項を具体的に実行するための手順を示す「実施内容」から構成される。これらの内容は経営戦略、企業規模、保有する情報資産、業種・業態などにより異なるため、自社の企業活動に合致したポリシーを策定することが重要となる。
加えて、社内の情報資産を「機密情報」「業務情報」「公開情報」といった形で3つ程度に分類し、「公開情報」以外の情報資産の取り扱い方法を決めておく必要がある。テレワークでは、持ち出された情報が外部に漏洩するリスクが高まることから、「業務情報」と「公開情報」のみを持ち出し可能となることが考えられる。
分類については、情報資産の利用者が識別できるようにしておく。例えば、電子データはフォルダを分けておくほか、ファイル名に【機密】を入れるなどの方法がある。
また、システム側の対策としては、電子データを保存するフォルダにアクセス制限を設定して、機密情報を閲覧・編集する必要のないユーザーや端末からアクセスできないといったことがある。
マルウェア対策のポイント
基本対策として、ウイルス対策ソフトウェアを導入した上で、テレワークのユーザーは、社外のWebサイトへのアクセスを必要最小限にとどめるとともに、アクセスする前にOSやブラウザ、Flash PlayerやAcrobat Readerといった関連するア プリケーションのアップデートを済ませておくことが必要となる。
また、ウイルス対策ソフトにおいては、常に最新の定義ファイルが適用されているようにすることが挙げられている。加えて、OSや他のソフトウェアについてもアップデートが適用された最新の状態を保つ必要がある。
加えて、不審なメールを受け取った場合は、メールを開かずに隔離することを心がけることも重要となる。
システム側の推奨の対策としては、フィルタリングなどを用いて、テレワークのユーザーが危険なサイトにア クセスしないように設定することが紹介されている。
端末の紛失・盗難の対策のポイント
会社から貸与されたPCを利用するケースにおいて、テレワークのユーザーに対しては、情報資産の原本を安全な場所に保存しておくことが推奨される。これにより、端末が手元からなくなっても、データは復旧することができる。
また、やむをえず機密性が求められるデータを利用する場合は、暗号化して保存することで端末の不正アクセスやデータの不正利用を防ぐことが可能になる。
さらに、喫茶店や交通機関などの第三者と共有する環境でテレワーク作業を行う場合、端末を他者に利用されないようにするために、パスワードのほか、 指紋や顔認証などによるユーザー認証、操作画面の自動ロックなどの設定を行う必要がある。
