テレワーク用セキュリティポリシーって必要?
はじめに
パンデミック発生以降、日本ではテレワークの普及が進みました。現在は感染者数の減少に伴ってオフィスでの勤務を再開する企業も出てきていますが、毎日新聞社が国内の主要企業を対象に行ったアンケートでは、約9割の企業がコロナ収束後もテレワークを継続したいと回答しています。また、在宅勤務と出社を組み合わせたいわゆるハイブリッド勤務も広まっており、今後もテレワークは部分的であれ、実施され続けると思われます。
そんな中、2020年7月時点で、テレワーク用のセキュリティポリシー(規程)を整備した企業は4割にとどまっていました。テレワークを行うにあたっては、セキュリティ対策を実施すること自体も大切ですが、そのためには前提となるルールやガイドラインを定めたセキュリティポリシーが必要です。
テレワークをコロナ禍収束以後も続けたいと考えている企業であればなおさら、この勤務形態を考慮して情報セキュリティポリシーの見直しや更新を行うことが求められます。
テレワーク用セキュリティポリシー、なぜ必要?
テレワーカーが増加したことで、サイバー攻撃の方法を変える犯罪者が出てきています。また、企業側のデジタルインフラの保護方法も変化していますし、従業員の業務実施環境も変わってきました。そのため、こういった状況を考慮したものへと、ポリシーを更新する必要があります。例えば、テレワーカー用機器に対してのぞき見防止フィルターを貼付する、離席時にスクリーンロックを実施する、などといった決まりを設けない場合、機器の画面がのぞき見られて情報が漏洩するリスクが増大します。
さらに、以下に挙げるような、テレワーク環境ならではの脅威やリスクも存在します。こういったリスクをどう防ぐのか、そのための対策や取り決めをどうするか、そして実際にセキュリティ・インシデント(事案)が発生した際にどんな対応を取るかなどを、ポリシーの中で定めておくことが重要です。
想定すべき脅威やリスク
テレワーク用機器(端末)に関する脅威
紛失・盗難
テレワーク環境においては、オフィス等で業務を実施する場合に比べて、テレワーク用機器を紛失したり盗まれたりするリスクが高いです。
(画像出典:総務省「中小企業等担当者向けテレワークセキュリティの手引き」)
マルウェア感染
テレワーカー用機器に最新のウイルス対策ソフトウェアが導入されていない場合、マルウェア感染のリスクが高まります。
不正アクセス
OSやアプリケーションに最新のセキュリティアップデートを適用していない場合、製品の脆弱性(=欠陥・バグ)を利用した不正アクセス等のリスクが増大します。
セキュリティ対策の実施漏れ
どの機器やアプリケーションをどの従業員が利用しているのかを把握できていない場合、各種セキュリティ対策が施されていない機器をテレワーカーが利用していた、などという事態が起こり得ます。
なりすまし・不正アクセス
従業員が利用する機器のアカウントや、テレワークで利用するシステムのアカウントのパスワードが、破られやすい容易なものに設定されている場合、悪意ある第三者にパスワードが把握されやすくなり、なりすましによる不正アクセスが行われるリスクが増大します。
テレワークの作業環境に関連する脅威
オンライン会議での盗聴・情報漏洩
オンライン会議に不適切なユーザーが不正に会議に参加する可能性があります。これは、会議参加のためのURLやパスワードが、必要ないユーザーに知られてしまうことにより発生・増大するリスクです。不適切なユーザーは、会議を盗聴したり、会話内容から不正に情報を得たりする可能性があります。
(画像出典:総務省「中小企業等担当者向けテレワークセキュリティの手引き」)
のぞき見(ショルダーハッキング)
テレワークの作業環境では、オフィス環境に比べて、家族などの業務と関係ない人物から、テレワーク用機器をのぞき見されやすいです。
不正アクセス
自宅に設置するWi-Fiルーター等のネットワーク機器を、メーカーによるサポート切れの状態や古いファームウェア(*)の状態で利用している場合、ファームウェアの脆弱性を狙った攻撃による不正アクセスが行われる危険があります。
通信内容の漏洩・盗聴
Wi-Fiを利用したり、自宅外でテレワークを行ったりするときに、通信内容が暗号化されていない場合、悪意ある第三者が通信を傍受し、情報が漏洩するリスクがあります。
(*)ファームウェア:機器内部に組み込まれたソフトウェア。回路や装置の基本的な重要な機能を司るもの
テレワーク用セキュリティポリシーに含めるべき主な事項
リモートアクセスに関する取り決め
VPN接続やリモートデスクトップなど、リモートアクセスには複数の接続形態があります。企業は、どの形態のリモートアクセスを許可するのかをポリシーの中で定め、各接続形態を使用する上で、どのタイプのテレワーク用機器(企業から貸し出されるPC、従業員の私物PCなど)を許可するのかを決めておく必要があります。
例えば、不要なポートや必要なIPアドレス以外からの通信は遮断する、といった取り決めがなされていない場合、それらを狙った悪意のある攻撃(脆弱性を突いた攻撃やアカウントのなりすまし等)を受けるリスクが増大してしまいます。
また、各テレワーカーにどんなアクセス権限を付与するのかについても規定しておくのが望ましいです。
例:企業所有PCには多数のリソース(例:ファイル、サービスなど)へのアクセス権を与え、私物PCのアクセスはいくつかのリソースのみに制限し、私物モバイル機器にはWebメールなどのリスクが低いリソースのみへのアクセスを許可する、など。
重要情報へのアクセスを業務上必要な人のみに制限できていない場合、本来アクセス権限が必要ではない人のアカウントが不正利用され、情報漏洩につながる恐れがあります。
テレワーカー用機器に関する取り決め
(画像出典:総務省「中小企業等担当者向けテレワークセキュリティの手引き」)
ポリシーでは、テレワーカー用機器に保存されているデータの取り扱いについて定めましょう。例えば、「テレワーカー用機器に保存されている全ての慎重に扱うべきデータを暗号化する」、あるいは「テレワーカー用機器には慎重に扱うべきデータを保存しない」などの方針を決定する必要があります。
また、機器のアップデートについてもポリシー内でルールを決めておきましょう。企業所有機器であれ従業員の私物機器であれ、業務で使用する全ての機器(PCやスマートホンだけでなく、Wi-Fiルーターやスマートスピーカーなども含みます)は、最新の状態に保っておかねばなりません。
加えて、機器へのマルウェア対策ソフトの使用やそのアップデートについての規程もポリシーに含めましょう。最新版のマルウェア対策ソフトであれば駆除できていたマルウェアが、ソフトが古かったために駆除できなかった、といった事態も起こり得ます。
従業員へのトレーニング、教育、注意喚起
従業員に対し、セキュリティ上どのような行動を取るのが最適か(ベストプラクティス)について周知しましょう。ただ、このようなルールは忘れられやすいため、繰り返し教育を行う必要があります。安全にテレワークを行う方法を理解するためのトレーニングや、フィッシングメールやスパム攻撃を見分けるためのトレーニングを、定期的に実施しましょう。こういった従業員教育に関する取り決めやセキュリティ侵害への注意喚起についても、ポリシーに盛り込むことが重要です。
例えば、Webメール(クラウドサービス)を利用している企業は、以下のような事項について従業員に伝え、注意喚起を行うことが有効です:
・不審なメールに記載されているURLにアクセスすると、悪意のあるサイトに誘導される恐れがあること。
・これによりマルウェアに感染したり、認証情報などが窃取されるリスクが増大すること。
セキュリティインシデント発生時の取り決め
データ侵害や不正アクセスなどが発生した際、まず誰に連絡すべきか、最初に取るべき手段は何か、システム全体を停止するにはどのような手順を取ればいいのかなどを、ポリシー内で取り決めておかねばなりません。
(画像出典:総務省「中小企業等担当者向けテレワークセキュリティの手引き」)
インシデント発生時の対応手順や、関係者への連絡体制が定められていない場合、セキュリティ担当者がインシデントの発生自体を把握できない恐れがあります。そうなると、被害の拡大を早期に防止することができません。
テレワーク環境でインシデントが発生した際は、テレワーカー個人が責任のある行動を取らなければならないため、対応方法を明確に決めておくことが大切です。インシデントの内容によって、どのような緊急処置を行うべきかを、テレワーカーが理解できるように定めておきましょう。
違反した場合の罰則規定
ポリシーで定められた規範に違反した従業員に対し、どのような処分を与えるのかを決めておきましょう。テレワークでは、上司や同僚の監視の目がない環境で業務が行われることが増えます。そのため、抑止効果として罰則規定を設けることが有効です。
最後に
テレワーク用セキュリティポリシーは、テレワーク実施時の脅威の緩和に役立ちます。さらに、ポリシーの導入や運用を通して従業員のセキュリティ意識を向上させることができるというメリットもあります。また、セキュリティポリシーは、自社が真剣にセキュリティ対策に取り組んでおり、情報を保護しており、インシデント発生時に備えて対応手順を用意しているということを、利害関係者に対して保証するためのものでもあります。
新型コロナ収束後もテレワークやハイブリッド勤務の継続を検討している企業は特に、テレワーク用セキュリティポリシーを策定することが望ましいでしょう。
情報源
https://mainichi.jp/articles/20210129/k00/00m/040/363000c
https://kyodonewsprwire.jp/release/202009234711
https://www.nisc.go.jp/active/general/pdf/telework20200414.pdf
https://www.forbes.com/sites/forbesbusinesscouncil/2021/03/15/cybersecurity-policies-in-the-age-of-remote-work/?sh=6f35ee9a4442
https://preyproject.com/blog/en/best-practices-for-a-remote-company-security-policy/
https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2020-03.pdf
http://www.rmmagazine.com/articles/article/2020/10/01/-Cybersecurity-Policies-for-Remote-Work-
https://www.nisc.go.jp/active/general/pdf/telework20200611.pdf
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
https://www.soumu.go.jp/main_content/000753141.pdf
https://www.soumu.go.jp/main_content/000752925.pdf
https://www.soumu.go.jp/main_content/000199491.pdf
https://www.ipa.go.jp/files/000024561.pdf
関連投稿
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。