• 入会のご案内
  • お問い合わせ
  • 支部連絡先
  • 会員ログイン

ICTソリューション紹介

安全なテレワーク環境の構築で
業務効率化と安心できる働き方の実現を

IOT

公開日:2020/10/28

─サイバーセキュリティ統括官室とはどのようなお仕事をされている部署ですか。

 総務省の中で、情報通信分野のセキュリティ向上を担当しています。一般の方々に向けてインターネット利用上の注意喚起、通信事業者とのセキリティ情報の共有やサイバーセキュリティ人材の育成、さらにはテレワークに関するガイドライン作成など、業務は広範です。

─具体的にはどのような取り組みをなされていますか。

総務省
サイバーセキュリティ統括官室
参事官
高村 信氏

 たとえば一般のインターネット利用者向けにはWi-Fiを安全に使うためのガイドラインなど、インターネットを安全に使うためのコンテンツを用意しています。

 またインターネットにつながっている機器にはIPアドレスが割り振られていますが、私たちは日本国内のIPアドレスを毎月すべてスキャンし、“乗っ取り”などのリスクがあるものがあれば、管理者に通知するといった取り組みも行っています。

 また新型コロナウイルス問題でテレワークが急速に拡大していますが、そのテレワークを安全に行うためのガイドラインも作成しています。

企業内のITセキュリティとテレワークでのセキュリティとの違いとは?

─企業内のITセキュリティと、テレワークでのセキュリティにはどのような違いがありますか。

 企業内のITセキュリティは、基本的に“モノの管理”です。社内のパソコンやネットワークがきちんと設定されているか、OSやアプリケーションソフトのセキュリティアップデート、アンチウイルスソフトのアップデートが適切に行われているかなどを管理するということです。

 そして万一社内のネットワークがインターネットからの攻撃にあった場合でも、社内とインターネットをつなぐルーターなどゲートウェイにあたる機器の電源を切れば、機器の故障などは発生するかもしれませんが、被害を最小限にとどめることができます。

 しかしテレワークでは、社員がスマートフォンやパソコンなどの端末を社外に持ち出して仕事するため、管理の目が届きにくくなります。またデータやシステムのクラウド化を進めている場合を除けば、社員は社外から社内のシステムにアクセスし、仕事することが前提になるため、インターネットに向けての何らかの入口が開いている状態となります。そのため、社内のシステムを守るためにゲートウェイにあたる機器の電源を落とすと、業務に大きな支障が出てしまいます。つまりテレワークでのセキュリティを確保するには、モノの管理ではなく、そうした端末を扱う社員の管理や教育が非常に重要になるのです。

社員の教育を通じ、持ち出す端末の管理の徹底を

─端末を外に持ち出すことでどのようなリスクが生まれるのでしょう。

 最大のリスクは、端末を落とすこと、紛失することです。この場合、二つの被害が考えられます。

 まず『可用性の喪失』、つまりその端末そのものに入っていたデータを業務で利用できなくなることです。喫茶店や電車の中でカチャカチャとパソコンを操作している姿はよく見かけますが、その中にこれから参加する会議の資料や、会社に戻ってから提出しなければならない報告書を作っている人もいるでしょう。こうしたファイルをHDDなど端末内部に保存している場合、置き忘れたり、落としたりするとそのファイルが使えなくなり、業務に支障が出ます。

 そしてもう一つ、より大きな被害につながる可能性がある『情報の漏洩』です。社用のスマートフォンには、取引先の名前と電話番号がたくさん入っています。たとえばそれを客先に置き忘れ、ライバル会社の社員が拾ったらどうなるでしょう。またパソコンにも社外秘の情報が入っていることがあるでしょうし、テレワーク用のパソコンなら社内システムに不正にログインされる可能性があります。

─そうしたリスクを防ぐにはどうすればいいのでしょう。

 端末を持ち歩く社員には『喫茶店などでは端末から目を離さない』『電車に乗る時には網棚にカバンを載せない』など、紛失や置き忘れに注意するような教育が必要です。

 しかし社員も人間ですから、ミスをする、つまりうっかり置き忘れる、移動中に落としてしまうことはあり得るでしょう。そうしたケースを想定し、『誰かに拾われても悪用されないための仕組み作り』が重要です。

 パソコンにはパスワード設定を、スマートフォンにもパスワード、もしくは画面を指でなぞってロックを解除する『パターンロック』を設定し、第三者が入手しても中のデータにアクセスできないようにしておくことを徹底しましょう。ただパターンロックでも、一直線などの単純なパターンを使っていると、保護フィルムに跡が残ってすぐに見破られてしまう可能性があります。少なくとも『片手で持って、もう片手で図形を描く』ような複雑なパターンを登録しておくことが、セキュリティ向上につながります。

「手引き」の活用で確実なセキュリティの設定を可能に

─テレワークを導入したくても、情報セキュリティに詳しい社員がいないため、踏み切れない中小企業も少なくありません。

 私たちは2004年に、テレワークの導入を考えている企業向けにセキュリティ設定についての冊子『テレワークセキュリティガイドライン』を発行しました。

 この冊子はその後改定を重ね、現在第4版となっていますが、対象に大企業まで含んだ上で考えられるセキュリティのポイントを網羅的に解説しているため、システム部門や専従のシステム担当者がいない中小企業などでは利活用が難しい内容となっていました。

 そこで今回、そうした中小企業などを対象に新たに刊行したのが『中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)』(以下、手引き)です。

─その内容を簡単にご案内いただけますか。

 この手引きは、読者像に『IT関連の単語は知っている、もしくは知らなくてもインターネット検索でその意味するところが理解できる』という方々を想定し、そうした方々でも適切にセキュリティの設定ができることを目指しています。

 手引きに掲載されたフローチャートを使って自社のテレワーク環境を8つの方式から一つ選び、それぞれの方式に用意された『セキュリティ対策チェックリスト』に従って設定などをご確認いただくことで、通常ご利用いただくのに差し支えないレベルのセキュリティを設定できます。

 これで高度なスキルを持った者がしつこく攻撃を繰り返す場合などは別として、ウイルスに感染する、外部から侵入されるというリスクは大きく減らすことができるはずです。

 そして設定方法も分かりやすさを第一に考えており、優先度◎を1ページ、○を2ページ程度にまとめているので、読み解き、理解するのに多くの時間がかかることもありません。

リモート会議用アプリのセキュリティ設定資料も用意

─リモート会議についての設定解説資料も用意されていますが、その目的を教えてください。

 テレワークの利用拡大にともない、社内会議だけではなく、社外の人ともインターネットを使ったリモート会議で行うことが一般化してきています。こうした社外とのリモート会議では、いくつかあるリモート会議用のアプリケーションから会議の主催者が利用するものを選び、参加者はその指定に合わせることになります。

 社内業務に使う一般のアプリケーションであれば、導入前に比較検討し、場合によってはベンダーから詳しい説明を受けることもありますが、リモート会議では『使ったことのないアプリケーションをいきなり使う』というケースもありうるわけです。そしてそうしたリモート会議用のアプリケーションは、クローズドの打ち合わせだけでなく、セミナーのような自由参加型での利用も想定しているため、設定によっては知らない人が会議の内容を見聞きしたり、時には妨害するという可能性も出てきます。

 そこで主要なリモート会議用のアプリケーションについて、そうした第三者の参加を防ぐための設定をまとめたのが、設定解説資料です。

─今後のご活動について、展望を教えてください。

 私たちは安全なテレワーク環境を実現するため、こうしたテレワーク導入に向けてのセキュリティ対策を広く中小企業さまに周知していくことが課題と考えています。

 また現在、テレワークセキュリティの無料相談窓口を開設していますが、こちらのご利用も広く呼びかけたいと思っています。

 さきほどの手引きなど、そうした情報は総務省のウェブサイトに掲載していますが、いままでは『セキュリティ』などのキーワードで検索した人にしかアプローチできませんでした。そこでテレコム・フォーラム誌など、中小企業の経営層の方々が目にされるであろうメディアに広告を出し、さらなる周知を図るなど、積極的に取り組んでいきたいと思います。

 また現在、今回のコロナ禍で各企業がどのようにテレワークに取り組んだのか、アンケートを行っているところです。その内容を反映し、年度内にはガイドラインの第5版を、そして手引きもより内容を分かりやすくした第2版を年内に発行する予定です。

PDF版はこちら

関連記事

ICTコラム

PAGE TOP