テレワーク環境のパターン
テレワークセキュリティは環境によって大きく異なります。先ずは、最もシンプルなテレワーク環境から順次、考えられるリスクとの対策について考えていきたいと思います。
テレワーク環境のパターンについては、総務省「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」https://www.soumu.go.jp/main_content/000706649.pdfのP12に「(ア)テレワーク方式の概要」に方式①~⑧に示され、どの方式に該当するのかを確認するフローチャートがP10の「(ア)テレワーク方式の確認手順」に示されていますので、こちらも参照ください。(本ブログでは、総務省のテレワーク方式を意識しながら、独自にテレワーク方式を再編したいと考えています)
- PCを自宅に持ち帰り、ネットワークに繋がない運用
- PCを持ち運ぶ場合
- USBメモリやハードディスクなどの記憶メディアにデータを入れて持ち運ぶ場合(郵送なども含む)
- PCを自宅に持ち帰り、インターネットだけに繋ぐ運用
- 社内LANとの共有の為、電子メールやファイル共有サービスを利用する場合
- クラウド上の業務システムを使用する場合
- 上記以外のクラウドサービスを使う場合
- PCを自宅に持ち帰り、社内LANだけに繋ぐ運用
- 「2.」と「3.」の組み合わせ方式
その他に、テレワーク端末は「会社貸与か?」、「個人所有PCか?」といった問題がありますが、セキュリティ面を考えれば、「会社貸与」を強く推奨します。「個人所有PC」を利用するケースもあると思いますが、これは別途検証したいと思います。
各パターンごとのリスクとセキュリティ対策
1.PCを自宅に持ち帰り、ネットワークに繋がない運用
(1)PCを持ち運ぶ場合
会社内にて業務に使用するデータをPCに保存し、自宅に持ち帰り作業を行った後、PCを会社に持参し、会社内で作業結果を保存する方法です。週に1回など定期的に会社に出社して最新の情報と作業成果を交換しながら業務を進める方法です。
【リスク】
- PCを都度持参するので、通勤時のPCが盗難、置忘れ、紛失などの被害にあうリスクがあります。
- 通勤時の移動時にPCを開いて作業することは想定していませんが、そのような可能性がある場合は、PCののぞき見、離席時の盗難や不正利用などのリスクがあります。
- (PC本体のセキュリティは、別途検討します。ここでは社内で使用した際に既にセキュリティは担保されている想定で検討を進めます)
【対策】
- 利用規約などのルールにて、移動時の盗難・置忘れなどの注意喚起を行い、利用者に対して周知徹底してください。(具体的には?—>「テレワークセキュリティの具体的対策について-テレワークセキュリティの具体的対策について-①」の『①利用者に対する「移動時の盗難・置忘れなど」の注意喚起と周知徹底について』にて解説)
- 移動時の盗難・置忘れを想定して、データをPC内に保存しないような運用を行う、データを暗号化する、ハードディスクごと暗号化するなど、第三者がPCを入手しても情報が漏洩しない対策を検討してください。(具体的には?—>後で紹介)
- 通勤時の移動時にPCを開いて作業する際は、別途「PCの社外利用時のセキュリティ」ということで切り分けて、「テレワークセキュリティ」とは別途検討を行う必要があります。(具体的には?—>後で紹介)
- 会社以外のネットワークに繋がないことでセキュリティを担保していますので、自宅のネットワークや公衆ネットワークに繋がないでください。
(2)USBメモリやハードディスクなどの記憶メディアにデータを入れて持ち運ぶ場合(郵送なども含む)
会社内にて業務に使用するデータを記憶メディアに保存し、自宅に持ち帰り作業を行った後、記憶メディアを会社に持参し、会社内で作業結果を保存する方法です。週に1回など定期的に会社に出社して最新の情報と作業成果を交換しながら業務を進める方法です。
【リスク】
- 記憶メディアを都度持参するので、通勤時の記憶メディアが盗難、置忘れ、紛失などの被害にあうリスクがあります。
【対策】
- 利用規約などのルールにて、移動時の記憶メディアが盗難・置忘れ・紛失などの被害にあわない様に注意喚起を行い、利用者に対して周知徹底してください。(具体的には?—>後で紹介)
- 移動時の盗難・置忘れを想定して、データを暗号化するなど、第三者が記憶メディアを入手しても情報が漏洩しない対策を検討してください。(具体的には?—>後で紹介)
以下、「2.PCを自宅に持ち帰り、インターネットだけに繋ぐ運用」以降は「ミニマムから始めるテレワークのセキュリティ対策-2」に続きます。
「ミニマムから始めるテレワークのセキュリティ対策-2」の項目予告
