総務省は2018年4月、テレワークに向けたセキュリティ対策に関する新しい文書を公開した。テレワークを導入する企業に向けた情報セキュリティ対策の手引きの新版「テレワークセキュリティガイドライン第4版」だ。

総務省が公表したテレワークセキュリティガイドライン第4版
出所:総務省
[画像のクリックで拡大表示]

 第4版の改訂ポイントは外出先やカフェといったモバイル環境や、会社から離れた場所に設置したサテライトオフィスで行うテレワークを念頭に、実施すべきセキュリティ対策を追加したことだ。2013年に公開された従来版の第3版は、当時テレワークの主流だった在宅勤務を前提にしていた。

 「新たに加わった施策については、注意して取り組まないと企業の負担が高まるばかり」。情報セキュリティ対策に関する研究を手がける、ラックの谷口隼祐サイバー・グリッド・ジャパン サイバー・グリッド研究所チーフはこう指摘する。

 総務省の新たなガイドラインが示すセキュリティ対策の内容におかしなところはないだろう。ただし、企業はメリハリをつけて対策を講じなければ、手間とコストが増大する一方だ。賢い“手の抜き方”を知っておく必要がある。

 第4版にはどのような内容が加わったのか。その内容をどのように読み解いて、現実的な対策を立てればいいのかを見ていこう。

情報のレベル分けや対応訓練の実施が加わる

 まず第4版で加わった、企業が取り組むべき、テレワークに関するセキュリティ対策を大枠で押さえておこう。従来の第3版では大枠の取り組みとして「情報セキュリティポリシーの策定と定期的な監査」「テレワーク利用者への教育」「セキュリティ事故の発生に備えた連絡体制の整備」を求めていた。

第4版で加わった情報セキュリティ対策の大枠に関する取り組み
[画像のクリックで拡大表示]

 第4版ではさらに取り組むべき内容が4つ加わった。「社内情報を重要度に応じてレベル分け」「セキュリティ対策の重要性を利用者が理解」「事故発生に備えて対応訓練の実施」「必要な人材・IT資源への予算の確保」である。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)登録で6月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料会員と登録会員に関するFAQはこちら