前回、前々回のブログでは、テレワークにより発生しうる様々なリスクと対策について紹介しました。まだ読んでいないという方はぜひお読みいただけると幸いです。
- 第一回目:テレワークセキュリティの必要性、何が危険なのか?(前編)
- 第二回目:テレワークセキュリティの必要性、何が危険なのか?(後編)
第三回目となる今回のブログでは総務省のガイドラインを使って、自社のテレワーク環境についてリスクを確認する方法について紹介していきます。
自社のテレワークについてセキュリティ対策状況を確認
自社のテレワークセキュリティについて対策状況を確認する場合、お付き合いのあるセキュリティベンダさんにセキュリティ対策状況を確認して頂くのが一番ですが、今回は総務省の「テレワークにおけるセキュリティ確保」を使って自社にて実施する方法をご紹介します。
(1)これからテレワーク環境を作成する場合
これからテレワーク環境を構築される場合、以下のガイドラインを参照して構築されることをお勧めします。構築した後にガイドラインに合わせて改訂を行うのは時間もコストも無駄にしてしまいます。構築を行う関係者全てに事前に周知してから構築作業を行ってください。
構築後にガイドラインに沿って構築されているか確認するために、チェックリストを使用して確認を行います。
総務省「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」
(2)既にテレワーク環境を構築されている場合
既にテレワーク環境を構築し運用されている場合は、万が一問題があれば外部から攻撃される可能性がありますので、早急にテレワークセキュリティについて対応状況を確認されることを推奨します。確認は「(1)これからテレワーク環境を作成する場合」と同様に、「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を使用して確認します。
総務省「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」
a.テレワーク方式はどの方式?
テレワークのセキュリティ対策を考える上で、どの様にテレワーク環境を構築しているのか、その実装方法により、検討すべきポイントが異なります。
総務省では以下の8つのパターンに分類しそれぞれのパターンに応じてチェックリストを用意しています。先ずは、自社のテレワーク環境がどのパターン化を確認してみましょう。総務省の「チェックリスト」内の「テレワーク方式確認のフローチャート」から確認して下さい。
自社のテレワーク環境を確認して、どの方式に該当するかを確認して下さい。部署によりテレワークの実施方式が異なり複数の方式が該当したり、1つの部署でも業務の種類により複数の方式を併用したりする場合もあります。
その際は、複数方式、全てのチェックリストを使用して確認を行ってください。
出典:総務省「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」第3版 P10
こちらはフローチャートで方式が確認できますが、1企業で複数の方式が利用されている可能性がありますので複数を選択する想定で確認して下さい。
b.チェックリストからの確認
「a.テレワーク方式はどの方式?」にて確認した方式のチェックリストを選択して確認してください。
チェックリストのP25の2章からが対策チェックリストになります。
「① 会社支給端末・VPN/リモートデスクトップ方式」を例にして説明していきます。
まずは「優先度:◎の項目」について確認して下さい。確認の際は単に〇・×を付けるだけではなく、その理由(何が実施できて、何が実施できていないか)も併せて記載して下さい。「優先度:◎の項目」の項目については基本的に実施できるようにしなければなりません。
出典:総務省「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」第3版 P26、27
上記の表を元にして、EXCELなどに同じ表を作り、右側に「確認結果」、「理由」の列を追加して下さい。「確認結果」には「〇」か「×」かを記入し、「理由」には「〇/×」を選んだ理由を記載してください。部分的に実施できている等、「〇」か「×」か判断できない場合は「△」を記入して下さい。確認が終わった後に、チェックリストの×が付いた項目について、何が実施できなかったのか、何故実施できなかったのか記載して下さい。
次に「優先度:〇の項目」についても確認して下さい。こちらも同様に「〇」か「×」かだけではなく、その理由も記載して下さい。
出典:総務省「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」第3版 P26、27
これらの表も同様にEXCELなどの表に転記してください。同様に「確認結果」には「〇」か「×」かを記入し、「理由」には「〇/×」を選んだ理由を記載してください。「〇」か「×」か判断できない場合は「△」を記入して下さい。確認が終わった後に、チェックリストの×が付いた項目について、何が実施できなかったのか、何故実施できなかったのか記載して下さい。
c.チェックリストの追加 ≪ご参考≫
実際にヒアリングを行ってみて、これらの項目も追加で聞きたいというものがありましたので共有します。これらは必要に応じて追加してご利用ください。
その他にご自身の職場で必要と思われる確認項目があれば追加して下さい。項目が増えればその分確認の手間も評価の手間も増えますが、リスクの見逃しなど減ると思いますので追加ください。
追加の表に関しても同様に「確認結果」には「〇」か「×」かを記入し、「理由」には「〇/×」を選んだ理由を記載してください。「〇」か「×」か判断できない場合は「△」を記入して下さい。
まとめ
テレワーク業務実施の必要性に迫られ、セキュリティ対策が十分であるか検証する間もなくテレワーク業務を開始せざるを得なかった企業は少なからず存在すると思います。そのような企業さまは、後追いでも構いませんので、早い段階でセキュリティ対策が十分であるか検証を実施ください。
また、これからテレワークの実施を迫られる企業さまもいらっしゃると思います。一度環境を構築した後にセキュリティの見直しを行いますと、環境の再構築が必要となったり、見直しまでの間にセキュリティ事故が発生したりして想定外の作業が必要となってきます。テレワークの実施を検討される場合は、セキュリティ対策も当初から検討を行ってください。その際は、総務省から提示されていますガイドラインに準じて実施してください。
神戸デジタル・ラボでは、セキュリティ対策が十分であるか自社だけでは検証できないといったお客様にはテレワークリスクアセスメントサービス、実施できるけれど問題がないか自信がないといったお客様にはアドバイザリーサービスなどによりご支援することが可能です。セキュリティ対策に関するご相談がございましたら、ぜひお気軽にお声がけ下さい。