Q. 在宅勤務時のセキュリティ対策はどうすればいいですか？（旧ネットの知恵袋 for Business）

　スタッフの外出や通勤を控えるためテレワークを導入し、在宅勤務では個人所有のパソコンやインターネット回線を使用してもらっています。個人情報を取り扱うためセキュリティ対策を徹底するよう呼びかけていますが、何か有効な対策はありますか？

　A.「ルール」「人」「技術」のバランスを考慮したセキュリティ対策を行いましょう

　総務省による「テレワーク情報サイト」で公開されている「テレワークセキュリティガイドライン」では、情報セキュリティにおいて「ルール・人・技術」のバランスが重要視されています。

　「ルール・人・技術」の3つの要素において「最も弱点と思われる要素のレベル＝その企業全体のセキュリティレベル」となるため、三位一体のバランスを取り、均衡が崩れないようにする必要があります。

【情報セキュリティを高めるために必要なこと】

・自社で保護すべき情報資産を洗い出す
・自社のセキュリティ対策への脅威・脆弱性・リスクなどの弱点を把握する
・認識した弱点から重要度に応じて、情報のレベル分けを行う
・レベルごとに順序とルールをまとめ、体系的な対策と連絡体制を整備する

　テレワークを実施するに当たり、自社が用意したテレワーク環境かどうかで注意点が異なります。

【自社から社員へテレワーク環境を提供している場合】

・提供した端末、ネットワーク、セキュリティソフトは業務目的以外に使用しない
・自社が提供したテレワーク環境以外では、極力業務を行わない
・セキュリティレベルに応じて定めた規定やルールを全社員に理解してもらう

【自社から社員へテレワーク環境を提供していない場合】

・各社員で端末、ネットワーク、作業場所など身の回りのセキュリティを徹底する
・社員が個人所有の端末や社内と異なるネットワークを使用して業務に当たる際は、ルールと管理者を定める
・トラブルや疑問点が発生した場合は、迅速に相談できるフローを作成する

　社員が個人所有の端末やインターネット回線を使用する場合、第三者が業務用のデータを閲覧・編集できないようにパスワードを設けたり、ネットワークのセキュリティを強化したりする必要があります。

　また、社員のテレワーク環境において、業務にかかわる操作画面や資料・通話の内容が第三者に知りえないよう整えられているかどうかも重要です。
社員が家族と同じパソコンやスマートフォンを共用している場合は、ローカルアカウントを分け、離席する際は画面にロックをかけてから移動することを心掛けるなどのルールを設けましょう。

　2020年4月に適用が開始された「働き方改革関連法」と、同月に政府より発令された「緊急事態宣言」による外出自粛を受け、全国で急速なテレワークの導入が進められました。

　これまでテレワークが導入されていなかった企業では、オフィスと異なる環境でも平常通り事業を継続するため、社内ルールの見直しやシステム整備、企業情報やお客さま情報を取り扱う上でのセキュリティ対策などが追い付かず、トラブルに発展した事例も報告されています。

　セキュリティを確保するにあたって、万全な対策はありません。
「ルール・人・技術」に新しい機能が追加されるたびにバランスが崩れ、脆弱性を狙う脅威が発生します。

　企業・社員ともに最新のIT情報や世界の情勢をチェックし、トラブルや事故に備えて自社の情報セキュリティレベルのバランスを常に把握しながら、情報を交換・共有していきましょう。

※この記事は2020年7月10日現在の情報です