テレワークの時だからこそ気をつけるセキュリティ事項


テレワークの時だからこそ気をつけるセキュリティ事項
今回は『テレワークの時だからこそ気をつけるセキュリティ事項』について、ISMS(ISO27001)のA.17.1情報セキュリティ継続に沿って触れていきたいと思います。
もうあちこちで話されたり書かれたりしており、一体何番煎じなんだというツッコミの声が各所から聞こえてきますが、そんなことには負けずにお送りしていきます。

最近テレワークを導入した企業、検討をし始めた企業、様々いるかと思います。
SNSでも「やっとテレワークになった~」と、つい感想をつぶやいている方を何人も見てきました。
それぐらいにはある種当たり前になりつつあるのかもしれません。
ですが、一方で導入する側、特に部長職以上の方やシステム担当の方は内心ヒヤヒヤされている部分もあったのではないでしょうか。

「いや急に導入できないし。」
「機器の準備とかめっちゃ大変なんだけど・・・」
「うちはちゃんと導入できるのだろうか。」
「気をつけるべき点が分からない。」

そもそもA.17情報セキュリティ継続とは

ISMS(ISO27001)にある管理策、A.17.1では次のことを要求事項として掲げています。
情報セキュリティ継続を組織の事業継続マネジメントシステムに組み込まなければならない。
事業継続とは、よく事業継続計画、BCP(Business continuity planning)なんて表記されたりすることもありますね。

事業継続計画で代表的なものとしても、災害時を想定した対策が特に事例として多いです。
(中小企業庁でも事業継続計画について解説サイトを作ってくれています。
https://www.chusho.meti.go.jp/bcp/contents/level_c/bcpgl_01_1.html )

さらに、A.17という項目は3つに分かれています。※太字は規格原文
1. A.17.1.1情報セキュリティ継続の計画
組織は、困難な状況(adverse situation)(例えば、危機又は災害)における、情報セキュリティ及び情報セキュリティマネジメントの継続のための要求事項を決定しなければならない。
ここでは、事業継続計画の内容に情報セキュリティに関する項目を盛り込むことが必要と書かれています。

2. A.17.1.2情報セキュリティ継続の実施
組織は、困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための、プロセス、手順及び管理策を確立し、文書化し、実施し、維持しなければならない。
ここでは、事業継続計画を立てる際の実施責任者を決め、具体的にどのような行動をしていくのか、何をツールとして使っていくのか等、計画した内容を記録に残すことが必要と書かれています。
特に文書化という文言は要チェックですね。

3. A.17.1.3情報セキュリティ継続の検証、レビュー及び評価
確立及び実施した情報セキュリティ継続のための管理策が、困難な状況の下で妥当かつ有効であることを確実にするために、組織は、定められた間隔でこれらの管理策を検証しなければならない。
ここでは、実際に計画した内容が有効であるかどうか確認を行い評価する必要があると書かれています。

簡単には記載しましたが、大きくポイントは3つになります。
ポイント1:責任者のもと情報セキュリティに関連する内容で計画を立てる
ポイント2:どのような内容で行うのか、記録に残しておく。
ポイント3:実際に行った内容の評価を行う
実際にテレワークに関する事業継続計画を立ててみよう
それでは実際にテレワークの内容で計画を立ててみましょう。
今回は『緊急時におけるテレワーク実施手順の作成』という内容で行きたいと思います。
まず最初に、会社としてテレワークを実施する際に必要なモノがどのくらいあるのか書き出してみましょう。

・パソコン
・ネットワーク環境
・パソコン周辺機器
・緊急連絡先

ものすごくざっくりとですが、最低限だとこのくらいかと思います。
では次に、パソコンやネットワーク環境に関してのルールを決めていきます。

■テレワーキングの運用ルールについて
会社貸与の携帯及びノートパソコンの使用者は以下を順守し業務を行うものとする。

1.外部の通信サービスの利用
外部の通信サービスを利用する際は、そのサービスの概要について説明を受け、その内容について幹部会にて検討し、社長の承認を得たものを使用すること。

2.モバイル機器
モバイル機器により情報が適用範囲の外部に持ち出される場合は、部門責任者と相談のうえ、セキュリティ対策を実施する。
モバイル機器としては、社用携帯、ノートパソコンなどが考えられる。
取り扱いに関して、下記事項を順守するものとする。

1)モバイル機器は、認証機能を利用して、必ずロックを掛けること。
2)ソフトウェアのバージョン及びセキュリティパ地は、最新のものを適用する。
3)不特定多数の者が利用可能なネットワークに接続しない(インターネットカフェ、ホテル等)
4)ダウンロードしたアプリケーションは、ウイルスチェックして問題ない場合のみ利用可能とする。
5)重要な情報をハードディスクに格納する場合、パスワード又は暗号化によりアクセス制御する。
6)公共の場所で利用する場合、覗き見や盗難されないよう注意して取扱う。
7)顧客先への持込みは、事前に許可を得ること。
8)ウィルス定義ファイルや、セキュリティパッチの最新を適用すること。
9)社外で利用した情報機器を、社内ネットワークに接続する場合は常時ウイルスチェックを有効にすること。
10)モバイル機器からの社内グループウェアのアクセスは許可する。
ただし、以下のセキュリティ対策を実施すること。
・社外でアクセスする時は、覗き込まれていないか注意して利用すること。
・離席時は画面ロックやログオフ状態にし、容易に内容が閲覧できない状態にすること。

上記のようにいくつか手順が作成されましたら、WordやExcelで手順書として保管します。
ここまでで一気にA.17.1.1とA.17.1.2の内容をクリアしてしまいました。
余談ですが、テレワーク時に特に気をつけた方が良い点としては、「自宅で作業する場合のネットワーク環境はどのようなものか」、「使用する端末のウイルス対策やOSは最新になっているか」、「家族共用ではないか」、この3点はよく現場でも問われる部分ですので、手順として明確にしておくと、導入がしやすくなると思います。

ここまでの内容を計画書に落とし込み、最後は作成した手順書を基に不足していないルールは無いかどうかをレビュー・評価してもらい、完了となります。

実際に記録を残す際はこのように残せると良いですね。

終わりに
事業継続計画という言葉を聞くと難しそうに聞こえるかもしれません。
ですが、ポイントを抑えて計画をしていくことで要領よく進めることができると思います。
もし、テレワークでの計画をされたいということであれば是非参考にして頂ければと思います。
会社をより良くしていくための一つの参考になればと思います。

ISMS総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【ISMS総研】メールマガジン登録

ISMSに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス