1.テレワークセキュリティガイドライン（第5版）

まずテレワークの情報セキュリティ対策を立案・実施する前に総務省から公表されている「テレワークセキュリティガイドライン（第5版）」をご覧いただくことをオススメいたします。「テレワークセキュリティガイドライン（第5版）」ではテレワークの手法から、その手法ごとのセキュリティ対策案などが記載されておりますので、自社にとっての最適なテレワーク手法を考え、そのテレワーク手法に対するセキュリティ対策をとる際に非常に有効な資料となります。さらには「経営者」、「システム・セキュリティ管理者」、「テレワーク勤務者」の立場から、誰が何をやるべきなのかも示しております。

また総務省は専任のシステム・セキュリティ管理者が不在の中小企業向けに「中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）」を公表しております。セキュリティ対策を網羅的に記載している訳ではございませんが、基本的な対策と必要最低限の対策が記載されております。

専任のシステム・セキュリティ管理者が不在という理由以外にもどちらを参考にするべきかまとめたものが下記の図1.になります。

図1.テレワークセキュリティガイドライン（第5版）と中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）の想定読者像

2.3つのセキュリティ対策

ではここからテレワークに対するセキュリティ対策の手法をご紹介いたします。これからご紹介する3つのセキュリティ対策により全ての脅威から守れるわけではありませんが、どのテレワーク手法にも有効な対策になりますのでご参考にしていただければと思います。

①ルールの策定と教育

「テレワークセキュリティガイドライン（第5版）」にもありますが、いくらセキュリティ対策を立案しても従業員が実施できていなければ何の意味もありません。そのためにはルールが必要です。そこで「こうやって仕事をすれば安全を確保できる」という仕事のやり方をルールとして定めておけば、従業員はルールを守ることだけを意識することで、安全に仕事を進めることができます。

例えば自宅・オフィス以外で業務を行う際はノートPCやスマートフォンの端末類は常に肌身離さず持ち歩く、またノートPCのディスプレイには盗み見防止のフィルムを貼るなどが挙げられます。その他にも社内のファイルサーバーへのアクセス方法やクラウドサービスを利用する際のルールが必要ですが、最初から完全なものを作る必要はなく、PDCAを回しながら最適化していくことがベターではないかと思います。

しかしそのルールが定着しなければ意味がないので、定期的な教育を通じてルールの趣旨を理解し、テレワーク勤務者にルールを遵守することが自分にとってメリットになることを自覚してもらうことが重要です。

②データ暗号化

全ての企業で行っていただきたい情報セキュリティ対策が「暗号化」です。

暗号化とは「デジタルデータを第三者に解読できない状態に変換する」ことです。社員が扱うデータの中には社外秘情報、機密情報が含まれていることがあります。このデータを暗号化し他の人からデータを守ることがセキュリティ対策となります。

例として挙げられるのが通信を暗号化する「VPN」です。VPN（Virtual Private Network）はインターネット回線を暗号化し仮想的な専用線でつないで安全なデータ通信を行う仕組みです。VPNを活用することでオフィス外から社内ネットワークに接続しても第三者から通信を傍受されることはありません。

③エンドポイントセキュリティ

近年テレワークの普及によりエンドポイントセキュリティの重要性が高まっております。テレワークの手法が企業によって様々ですが、基本的にオフィス外で業務を行うことが多いと思いますので「端末そのものを守る」ことが大切になります。

エンドポイントセキュリティも様々製品がございますが、オススメは「WithSecure」です。WithSecureは端末に入っているソフトウェアを手間なく最新状態に保つ仕組みがあり、未知のマルウェアでも隔離して検査することができます。ご興味がある方はこちらをご覧ください。