このページはJavaScriptを使用しています。JavaScriptを有効にして、対応ブラウザでご覧下さい。

7.安全なテレワークのためのセキュリティ対策と推進のための評価と改善

著者:一般社団法人日本テレワーク協会 相談員  小山 貴子

7.安全なテレワークのためのセキュリティ対策と推進のための評価と改善
目次
  1. 1.ルールによるセキュリティ対策
    1. (1)セキュリティガイドラインの策定
    2. (2)セキュリティルール・情報管理ルールの策定
    3. (3)ガイドラインとルールの遵守・浸透
  2. 2.技術的なセキュリティ対策
    1. (1)アクセスの管理・制限
    2. (2)暗号による管理
    3. (3)運用のセキュリティ
    4. (4)ネットワークのセキュリティ
  3. 3.物理的なセキュリティ対策

まず「テレワークのためのセキュリティ対策」における手順と留意点を説明します。 図表1のように3つの側面から総合的に対策する必要があります。

●図表1

図表1 「テレワークのためのセキュリティ対策」における手順と留意点

1.ルールによるセキュリティ対策

(1)セキュリティガイドラインの策定

組織として統一のとれた情報セキュリティに関する基本方針や行動指針が必要です。そして、その内容を明文化した「セキュリティガイドライン」を作成します(図表2)。既にガイドラインがある場合、まずは既存のものが現在の情報を取り扱う事業全体に正しく機能するものか見直した上で、テレワーク導入後の運用に則した策定が必要です。

●図表2

図表2 セキュリティガイドライン

(2)セキュリティルール・情報管理ルールの策定

社内の紙媒体資料(非電子化資料)の持ち出しに関するルールの設定など、テレワーク時の行動のルールを決定します。既にセキュリティルール、情報管理ルールのある企業では、チェックと見直しを行った上で、テレワーク特有のものをルール化することが望まれます(図表3)。

●図表3

図表3 テレワーク時の行動のルール

(3)ガイドラインとルールの遵守・浸透

研修などを通じてテレワーク実施者に理解してもらい、浸透させることも重要です。そうすることで、セキュリティ上問題のあるインターネットにアクセスしたり、不審なメールを開いたりといった行動を防ぐことができ、被害を受けにくくなります。

2.技術的なセキュリティ対策

(1)アクセスの管理・制限

パスワードが簡単なPCは、第三者による不正なアクセスや攻撃を受けやすくなるので、システム及びアプリケーションへのアクセスが従業員本人によるものであることを認証すること(本人認証)や、あらかじめ登録されている端末からのみのアクセスを許可すること(端末認証)などの措置を講じることが望まれます。また、従業員に貸与しているPCなどの端末情報を一元的に管理すること(端末管理)も重要です。

(2)暗号による管理

たとえPCを紛失してしまったり、盗難に遭ったりした場合でも、暗号化によってすぐに情報が漏えいするリスクを防ぐことができます。

・ハードディスク(HDD)暗号化

PC自体の認証を複雑にしてセキュリティを向上させていたとしても、紛失や盗難に遭った場合、PCに保存された情報は漏えいする可能性があり、ハードディスク内のデータを常に暗号化しておくことが有効です。

・セキュアコンテナ

携帯電話等にセキュアコンテナ(暗号化された企業用の業務データエリア)を作成するソフト及びサービスのこと。携帯電話等の紛失・盗難時には、セキュアコンテナのデータを遠隔操作により削除したり、ロックしたりすることが可能です。

・情報漏えい対策付きのUSBメモリ

暗号化機能、パスワードロック機能、ウイルスチェック機能を備えた製品。セキュリティガイドライン上、情報の持ち出しを可能とする場合はその媒体を限定し、媒体についても十分セキュリティ対策をしておく必要があります。

(3)運用のセキュリティ

PCやサーバ等、情報を直接扱っている機器へのセキュリティ対策を行う必要があります。特に重要なものはウイルス対策ですが、「電子データの原本保存」を常に意識したり、「ウイルス対策ソフト」を最新のものにしたりすることが重要です。ウイルスや不正アクセスの手口は日々多様化しているため、常に新たな脅威に備えたセキュリティ対策を心掛けておく必要があります。

(4)ネットワークのセキュリティ

ネットワークを通じてやり取りされる情報、及びネットワークを支える機器・設備を安全に使い続けるため、ウイルス感染や不正アクセスがされにくいネットワークを用意しましょう。十分にセキュリティ対策を施していないネットワークを使い続けた結果、情報資産全体に悪影響となり、最悪の場合、事業を一時的に停止しなければならない事態になるおそれもあります。ネットワークのセキュリティは特に、個々のテレワーク実施者よりも組織の情報システムを担当する部署の意識が問われています。テレワーク実施者が安全なネットワークを利用してアクセスできる環境を提供し、ネットワークからの不正侵入に対して対策をするとともに、日頃から問題が起きていないかをチェックする体制を作りましょう。

3.物理的なセキュリティ対策

ルールによるセキュリティ対策と技術的なセキュリティ対策では不十分な場合があります。例えば、盗難やスパイ活動、破壊等の損害など、PCやサーバという実体あるもの(ハードウェア)が危機にさらされる場合です。

テレワークでは所属オフィス以外の場所が「オフィス」になります。新しく執務環境とみなす場所については、オフィス同様の物理的セキュリティ対策をする必要があります。例えば、在宅勤務時には「自宅に会社貸与のPCを施錠管理できる棚があるか」「執務中の家の立ち入りは不特定多数ではないか」などの確認が必要です。これらの確認には、テレワーク利用申請等の申請書類に執務環境を明記させたり、誓約書等を交わしたりすることで十分な注意を約束するように指導するなどの対応が有効です。

また、ペーパーレス化を進めることは、セキュリティ対策にもつながります。資料を全て電子化しておくことで、紙資料をオフィス外に持ち出す必要がなくなるので紛失や盗難が防げるほか、社内での情報整理が簡単になるので、情報の管理がしやすくなります。

つぎに、テレワークの経営効果はどのように把握されているのか「推進のための評価と改善」についてご紹介します。テレワークの導入に当たって、企業としては推進体制の構築や新しいルールの策定、ICT・セキュリティ環境の整備、従業員への教育・啓発等に人的・金銭的な経営資源を投資することになります。経営トップとしても、テレワークの導入によってどのような効果があったかは必ず把握しておきたい内容です。

評価の仕方には、量的評価、質的評価があります(図表4)。

●図表4

図表4 量的評価、質的評価の例

テレワーク導入によるワークスタイル変革を経営課題と位置付け、「生産性の向上」や「ワーク・ライフ・バランスの向上」に加えて、「仕事に対するやりがいの向上」「顧客満足の向上」「BCP(事業継続計画)対策」など、自社の経営課題に応じて様々な指標でテレワークの効果を把握していきたいものです。

次回は、よくあるQ&Aに関してお伝えしていきたいと思います。

  • Facebook
  • Twitter
  • Hatena
  • Line
  • E-mail

この記事に関連する最新記事

おすすめ書式テンプレート

書式テンプレートをもっと見る

著者プロフィール

author_item{name}

小山 貴子

一般社団法人日本テレワーク協会 相談員

1970年生まれ。12年間のリクルート社勤務後、ベンチャー企業の人事、社労士事務所勤務を経て、2012年社会保険労務士事務所フォーアンド設立。ただいま、テレワーク協会の相談員と共に、人事コンサル会社の代表取締役、東証一部上場企業の非常勤監査役、一般社団法人Work Design Labのパートナー、東京都中小企業振興公社の専門相談員等にも携わる。2年半ほど横浜と大分の2拠点生活を実施中。

この著者の他の記事(全て見る

テーマ/キーワードから記事を探す

カテゴリ別テーマ一覧へ

フリーワードで探す

bizoceanジャーナルトップページ