テレワーク、在宅勤務におけるISMS対策を徹底解説

テレワーク、在宅勤務におけるISMS対策を徹底解説 ISMS・ISO27001

テレワークに無縁だった人でもコロナ禍での緊急事態などの影響で在宅勤務などを経験した人は多いのではないでしょうか。テレワークは会社への通勤も不要で思いのほか便利な勤務形態ですが、注意しなければならない点があります。それは、テレワークにおける情報セキュリティです。

自宅やリモート勤務場所におけるWi-Fiなどの通信手段環境から情報が漏えいしたり、あるいは危険なウイルスなどで汚染される可能性があります。テレワークにおける情報セキュリティ対策としてどのようなことを考慮すれば良いのでしょうか。この記事では以下の項目を説明することで、テレワークにおける情報セキュリティマネジメントシステム(ISMS)の対策の必要性や具体的な対策方法などを徹底解説します。

  • テレワークの実態
  • ISO27001でのテレワークの扱い
  • テレワークにおける情報セキュリティの具体的な対策
  • ISMS認証取得にあたって留意する事項

テレワークにおける情報セキュリティ対策に取組んでいる方や、テレワークを実践している方、あるいはテレワークを導入していてISO27001などのISMS認証取得を検討している企業の方などに是非参考にしていただきたい内容です。

テレワークの実態は?

テレワークというと在宅勤務のイメージが強いですが、通信ネットワークを介して社内の拠点内と同様の仕事を社内以外の拠点外で行なうことで、主として次の3つの形態に分けられます。

  • 在宅勤務:自宅を就業場所とする勤務形態。
  • サテライトオフィス勤務:社内のオフィス以外の他のオフィスや遠隔勤務用の施設を就業場所とする働き方。
    • 専用型:自社専用のテレワークオフィス。
    • 共用型:複数の企業がシェアして利用するシェアオフィスやコワーキングスペース。
  • モバイルワーク:交通機関の車内などの移動中や顧客先、カフェなどを就業場所とする働き方。

新型コロナウイルスの影響でテレワークは必然的に導入する企業が急激に増えましたが、今後も事業継続には必須となる勤務形態と言えるでしょう。まず、企業におけるテレワークの導入率や導入形態の実態などを見てみましょう。

テレワークの導入率

総務省の「令和元年通信利用動向調査の結果」にテレワーク導入率の全国規模の調査結果があります。直近3カ年のデータを表1に示します。

調査年導入済み(%)導入予定(%)
201920.29.4
201819.17.2
201813.94.3
表1.テレワークの導入率
総務省:「令和元年通信利用動向調査の結果」から作成
https://www.soumu.go.jp/johotsusintokei/statistics/data/200529_1.pdf

テレワークの導入率は年々着実に増加していますが、2019年のデータは12月の調査で新型コロナ禍直前のものです。

新型コロナ禍の影響

新型コロナ禍のなか、東京都が「テレワーク導入率の緊急調査結果」を実施しています。表2に2020年の3月と4月の調査結果を示します。

調査年月導入済み(%) 導入予定(%)
2020年4月62.76.1
2020年3月24.05.0
表2.新型コロナ禍での東京都のテレワーク導入率
東京都:「テレワーク「導入率」緊急調査結果」から作成 https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2020/05/12/documents/10.pdf

東京都はもともと全国平均よりテレワーク導入率が高いのですが、新型コロナ禍で一気に導入が進みました。企業の事業継続にはテレワークが欠かせないものであることがよく解ります。ただ、この高い導入率は一過性のものであることを、信用調査会社の東京商工リサーチの調査結果が示しています。

2020年7月に発表された全国約14,000社を対象にした東京商工リサーチの調査では、新型コロナ禍でテレワークを導入した企業のうち緊急事態宣言などの解除後に26.8%の企業がテレワークの実施を取り止めています。とは言え、2019年以前よりははるかに高い水準のテレワーク導入率が達成されていて、今後も増加していくことが予想されます。

企業規模と業種による違い

総務省の「令和元年通信利用動向調査の結果」で企業規模別のデータを見ると、2019年の平均導入率20.2%よりも高いのは資本金5000万円以上の企業です。(次表)

企業規模、資本金別でのテレワーク導入率

5000万円~1億円未満 22.0%

1億円~5億円未満 26.9%

5億円~10億円未満 35.5%

10億円~50億円未満 36.1%

50億円以上 64.3%

総務省「令和元年通信利用動向調査の結果」より抜粋

逆に資本金1000万円未満の企業は6.2%しかありません。テレワークを導入するには資金力も欠かせません。

業種別の導入率では、情報通信業が46.5%、金融・保険業が40.7%と高いのに対し、運輸・郵便業が11.7%と最も低くなっています。やはり、テレワークには適用できない職種もまだまだ多くあるということでしょう。

テレワークの導入形態

テレワークの導入形態について、総務省の「令和元年通信利用動向調査の結果」から3年間の推移を表3に示します。

調査年モバイルワーク在宅勤務サテライトオフィス
201963.250.416.4
201863.537.611.1
201756.429.912.1
表3.テレワークの導入形態(複数回答)
総務省:「令和元年通信利用動向調査の結果」から作成

在宅勤務の導入率が急激に上昇しています。テレワークの導入が進んでいる東京都では2019年7月の調査で在宅勤務がモバイルワークを上回っています。(次表)

在宅勤務 74.0%

モバイルワーク 61.5%

サテライトオフィス 41.6%

東京都:多様な働き方に関する実態調査(テレワーク)結果報告書(複数回答)より(https://www.hataraku.metro.tokyo.lg.jp/hatarakikata/telework/01_telework_tyousa.pdf

新型コロナ禍の影響もあって、今後も在宅勤務の比率がさらに高まることが予測されます。

ISO27001でのテレワークの扱い

テレワークで問題になるのは情報管理です。情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の基本的な国際規格であるISO27001には、テレワークについての規定もあります。

ISO27001は2005年に制定され、2013年に改訂されたISO27001:2013が現用版です。同内容のJIS Q 27001としてJIS化もされています。テレワークについては主にISO27001の附属書AとISO27002(情報セキュリティ管理策の実践のための規範)に詳しく規定されています。

2005年の時点からテレワークに関する規定も確実に取入れているのは先見的と言っても良いでしょう。

ISO27001附属書Aが示す管理策

ISO27001附属書Aは14の分類項目と35の管理目的、その目的を達成するための114項目の管理策で構成されています。テレワークに関する目的と管理策は「A.6情報セキュリティのための組織」のなかの「A.6.2モバイル機器及びテレワーキング」の項に以下のように示されています。

目的:モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。

モバイル機器の管理策:モバイル機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用しなければならない。

テレワーキングの管理策:テレワーキングの場所でアクセス、処理及び保存される情報を保護するために、方針及びその方針を支援するセキュリティ対策を実施しなければならない。

ISMSやテレワークのマニュアルなどを制定する際には、これらの管理策を確実に取入れることが基本です。

ISO27002が示す管理策実施の手引き

ISO27002ではモバイル機器とテレワーキングの管理策を実施するための手引きが6.2項に示されています。

モバイル機器の方針として考慮すべきこととして、モバイル機器の登録やソフトウェアのインストール制限、情報サービスへの接続の制限など11項目の他、盗難・紛失の注意、要員の教育・訓練の計画・準備、個人所有機器への対応などの手引きが示されています。

テレワーキングの方針として考慮すべきこととしては、テレワーキング場所の物理的セキュリティや環境、通信セキュリティに関する要求事項、家族・友人など環境を共有する者への注意など10項目が示されています。

詳細はJIS Q 27002(https://kikakurui.com/q/Q27002-2014-01.html)で確認してみてください。

また、ISO27001附属書AとISO27002を受けて経済産業省が「情報セキュリティ管理基準(平成28年改正版)」を発行しています。https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf

6.2.1項にモバイル機器について22項目、6.2.2項にテレワーキングについて21項目の手引きを、ISOの和訳文より解りやすい日本語で示していますので参考にすると良いでしょう。

ISMSにおける具体的なセキュリティ対策

モバイルセキュリティ

ISMSの中核の国際規格ISO27001などで規定されている対策の指針などを見てきましたが、企業や自宅などのテレワーク先で行なうべき具体的な対策を紹介しましょう。これらの対策はルール化して、ISMSやテレワークのマニュアルで確実に規定化することが重要です。

モバイル機器の対策

テレワークで使用するモバイル機器、主にPCについては以下のような対策が考えられます。

  • PCを利用し、OSやソフトウェアは最新版にアップデートすること。
  • やむを得ず個人所有などのPCを利用する時は、最新のウイルス対策ソフトを導入すること。
  • 会社で許可していない情報サービスは利用しないこと。
  • OSアカウントのパスワードは、英数字混在12文字以上で設定すること。
  • 遠隔でデータ削除やロックができるリモートワイプ機能を設定すること。
  • 会社の指定する方法で定期的にバックアップをとること。

高度なセキュリティ対策を組込んだPC端末とリモートシステムを会社で提供できるかが重要なポイントになります。

ネットワーク対策

インターネットセキュリティ

在宅勤務やモバイルワークにしても、ネットワークで本社やサーバーなどと接続しないと業務ははかどりません。ネットワークの接続については次のことに注意しましょう。

  • フリーWi-Fiでの接続は不可。WPA以上の暗号化通信を使用したWi-Fiを利用すること。
  • WPA(Wi-Fi Protected Access):家庭のWi-Fiは一般的にWEPという暗号化通信ですが、仕組みが単純なため解読されやすい欠点があります。WPAは暗号キーを一定時間ごとに変更するシステムでWEPより強固なセキュリティを有しています。自宅のWi-FiがWPAに設定できない場合は、会社からWPAに設定したポケットWi-Fiを支給しましょう。
  • 社内LANへのアクセスはVPNを使用すること。
  • VPN(Virtual Private Network):離れた場所同士のネットワークを繋げる通信システムで、通信を暗号化する仕組みを備えています。社内にVPN装置を設置して業務用PCにVPNソフトをインストールすることで導入することができます。

ネットワークから情報がリークすることは珍しくありません。ネットワークパスワードも英数字混在12文字以上にするなどの注意が必要です。

物理的なセキュリティ対策

ISOの規格のなかでは「物理的なセキュリティ対策」とされていますが、以下のような対策が示されています。

  • カフェなどの不特定多数の人が利用する場所での業務は禁止する。
  • 覗き見防止のプライベートフィルターをPC画面に貼る。
  • 家族などに画面を見せないように注意し、業務内容についても話さないこと。
  • 電話やWeb会議で話をする時には、周りに第三者がいないことを確認すること。
  • 機密情報が書かれた書類は施錠保管すること。
  • 機密情報が書かれた書類の廃棄はシュレッダーにかけるなどしてから行なうこと。

物理的な対策は、会社が実施する対策の他、テレワーカー自身が注意しなければならないことが主な対策になります。

教育と業務管理上の対策

テレワークについてのセキュリティ対策を施しても、従業員やテレワーカーに周知・徹底されていなければ意味がありません。セキュリティレベルを向上させるためには、従業員に対する教育は欠かせません。その他、業務管理上で次のような対策をとることが有効です。

  • 日報の義務化や毎日定例のWebミーティングの実施。
  • プロジェクトやタスクの状況を遠隔で管理できるツールの導入。
  • テレワーカーのPCの操作状況、ログを遠隔でチェックできるツールの導入。
  • 情報漏えいなどのセキュリティ事故が発生した時のルール、体制の整備。
  • 就業規則などのルールで不十分な場合は、NDA(秘密保持契約)の締結。

ISOに沿ったシステムや対策を講じても情報漏えいのような事故、インシデントがゼロになることはありません。情報セキュリティに関するリスクを極力低減し、万が一トラブルが起こった時に適切な対策が取れる体制を構築していくことが重要なことです。

ISMS認証取得にあたって留意する事項

ISMSを認証取得する時には、ISO27001に基づいた情報セキュリティについてのマニュアルを作成する必要があります。テレワークについては、基本的な管理項目をそのマニュアルに定めて詳細は別途テレワーク専用の手順書などに規定するのが良いでしょう。

ISO27001の認証審査では、ISO27001の要求事項がマニュアルや手順書などに規定されていることと、それによって実践した活動のエビデンスが求められます。従業員への教育や定例ミーティングの記録、テレワークの実態を示す遠隔管理の記録や無いに越したことはないのですが情報インシデントへの対応状況、再発防止の記録などが有効なエビデンスになるでしょう。

ISMSのマニュアル、テレワークの手順書などに基づいて確実な活動で運用していれば、認証審査で大きな指摘につながるような問題はおきないでしょう。

まとめ

働き方改革などで推奨されていたテレワークですが、新型コロナ禍の影響などもあって一挙に在宅勤務などのテレワークの形態が広まりました。テレワークでの課題は情報セキュリティですが、ISMSの中核となるISO27001にはさまざまなテレワークの管理方法や対策の指針、手引きが示されています。

それらの指針などに沿ったISMSを自社に取り入れて運用することで、情報セキュリティのリスクを大幅に低減することができます。テレワークでの情報セキュリティ対策はISMSの認証取得にも欠かせません。適切な対策を導入して有効で快適なテレワークライフを過ごしましょう。

トップへ戻る
タイトルとURLをコピーしました