皆様の会社では、新型コロナウイルスの感染拡大や緊急事態宣言の発令に伴い、テレワークを導入されておりますでしょうか?
企業のテレワーク導入状況
総務省が2020年12月〜1月にかけて実施した「テレワークセキュリティに係る実態調査(2次実態調査)(注1)」及びその調査結果概要(注2)によれば、調査対象4,385組織のうち、
- テレワークを導入している企業:30.7%
- 今後導入予定:6.5%
- 導入していない・導入予定もない:62.8%
となり、テレワークを導入している、もしくは今後の導入を予定している組織の割合が調査全体のうち約4割弱となりました。
従業員規模別の観点では、従業員規模が小さいほど「導入していない・導入予定もない」割合が高くなっており、100人未満の組織ではその割合は過半数を占めています。また、規模が大きいほど「新型コロナウイルス対策のためテレワークを導入した」の割合が高くなる傾向にあり、従業員規模が300人以上の組織では、4割半ばで最も高くなっています。
では、従業員規模の小さい組織では、テレワークの導入があまり進んでいないのか?というと、そういうことではなく、当該の調査結果においては、従業員規模10人〜19人の組織(n=1,705)において、「既にテレワークを導入している、あるいは今後導入予定」の組織は約3割おり、中小企業においてもテレワークの導入は進んでいることがわかります。
(総務省「テレワークセキュリティに係る実態調査 調査結果概要」より抜粋)
業種別のテレワーク導入状況
テレワークの導入状況を業種別でみた場合には、情報通信業、金融・保険業を除く業種では「導入していないし、具体的な導入予定もない」が5割を超えています。特に建設業、運輸業・郵便業では「導入していないし、具体的な導入予定もない」が約7割となっているなど、テレワークの導入率には、業種・業態による差も大きいことが確認できます。業務プロセス上、テレワークの全社導入は難しいと考える業種・業態もあるということです。
(総務省 「テレワークセキュリティに係る実態調査(2次実態調査)報告書」より抜粋)
テレワークの導入における組織の課題とは?
同調査では、テレワークの導入にあたり課題となった点についても調査しています。その結果、テレワーク実施企業のうち、実に47.6%の組織が「セキュリティの確保」を課題として挙げているようです。
(総務省「テレワークセキュリティに係る実態調査 調査結果概要」より抜粋)
では、テレワークにおいてセキュリティを確保する上での課題には、どのようなものがあるでしょうか?
たとえば対策事項としてよく挙げられるのは、
- リモート会議の盗聴防止やプライバシー保護
- テレワーク端末のマルウェア対策や脆弱性管理
- VPN利用時におけるVPN機器の脆弱性管理
などです。
セキュリティ面の課題解決を実施していく上であえて申し上げたい点としては、漠然と課題抽出や対策検討を進めるのではなく、組織にとって認識できている、つまり顕在化しているセキュリティ課題のほかに、まだ自分たちが認識できていない、潜在的なセキュリティ課題についても網羅的に検討を行う必要がある、という点です。そのうえで活用が可能なのが、各種のガイドラインやフレームワークです。
テレワーク導入時におけるセキュリティ確保に活用が可能な各種ガイドライン
テレワークに関連するセキュリティガイドラインとして、本稿では、代表的な3つのガイドラインについて紹介いたします。
総務省「テレワークセキュリティガイドライン(第5版)」
国内において、テレワーク導入で必要となるセキュリティ対策を網羅的に解説したガイドラインとしては、総務省の「テレワークセキュリティガイドライン」(注3)があります。初版の発行は2004年と古く、その後テレワークを取り巻く環境やセキュリティ動向の変遷にあわせて改定が継続され、本年5月31日に第5版が公開されています。(注4)
第5版では、一般的なテレワークの実施方式の解説や、個々のテレワーク方式に特有のセキュリティ考慮事項の解説がなされています。また、各対策の実施項目に関しては、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の3つの立場毎にそれぞれ必要となるものが記載されており、「誰が」「何を」実施すべきか明確に示しています。
総務省「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)」
総務省からは主にセキュリティの専任担当がいない中小企業を対象とした手引きについても、テレワークセキュリティガイドラインの第5版の公開とあわせ、改訂した第2版が公開されています。
「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)」(注5)は中小企業の担当者がテレワークを導入し、利用を進めるに当たり考慮すべきセキュリティリスクを踏まえ、中小企業等においても実現可能性が高く、優先的に実施すべきセキュリティ対策を具体的に示しています。
NIST「User’s Guide to Telework and Bring Your Own Device (BYOD) Security(SP800-114 rev.1)」
かねてよりテレワークが普及しており、2020年3月時点で2600万人以上のテレワーク人口がいるとされているアメリカでは、NIST(National Institute of Standards and Technology、米国標準技術研究所)がテレワークとBYOD(Bring Your Own Device、私物端末の業務利用)セキュリティに関するユーザーガイドを公開しています。(注6)
主に「ホームネットワークと使用するその他のネットワークの安全性確保」「BYODによるテレワークPC端末の安全性確保」「BYODによるテレワークモバイルデバイスの安全性確保」「サードパーティ製機器のセキュリティ考慮事項」の4つの観点で、それぞれ推奨となる基本対策を示しています。
まとめ
新型コロナウイルス感染症の流行により、多くの企業でテレワークの導入が急加速しました。テレワークは日常業務における利便性の向上のみならず、今回のような緊急事態において業務継続のための有効な手立てとなります。一方で、十分なセキュリティ対策を行っていなければ、インシデント事例のリスクが高まります。
これらの課題を解決するには今回ご紹介したようなガイドラインに沿ってセキュリティ状況を把握し、リスクを見える化することも重要です。
弊社では「P-SS 情報セキュリティ評価サービス」を通じて、セキュリティ対策状況を把握し、どこに弱点があるか、攻撃を受けやすい脆弱性があるかを可視化、必要な対策の優先順位をつけることを可能にします。
⇒「P-SS 情報セキュリティ評価サービス」|PNC株式会社
https://www.pnc.jp/pss.html
ご興味がございましたら、ぜひお問い合わせください。
出典
- 注1:「テレワークセキュリティに係る実態調査(2次実態調査)報告書」総務省,2021年3月(最終アクセス日:2021年6月30日)
https://www.soumu.go.jp/main_content/000744643.pdf - 注2:「テレワークセキュリティに係る実態調査 調査結果概要」総務省,2021年4月(最終アクセス日:2021年6月30日)
https://www.soumu.go.jp/main_content/000744643.pdf - 注3:「テレワークにおけるセキュリティ確保」総務省, 2021年5月31日(最終アクセス日:2021年6月30日)総務省|テレワークにおけるセキュリティ確保
- 注4:「テレワークセキュリティガイドライン(第5版)」総務省, 2021年5月31日(最終アクセス日:2021年6月30日)
https://www.soumu.go.jp/main_content/000752925.pdf - 注5:「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)」総務省, 2021年5月31日(最終アクセス日:2021年6月30日)
https://www.soumu.go.jp/main_content/000753141.pdf - 注6:「User’s Guide to Telework and Bring Your Own Device (BYOD) Security(SP800-114 rev.1)」NIST(米国標準技術研究所), 2016年7月(最終アクセス日:2021年6月30日)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-114r1.pdf