TEL 042-575-5311 受付時間:9:00〜18:00(土日祝除く)

セキュリティコラムvol.1~テレワークで注意すべきセキュリティ対策(BYODについて)

システム・セキュリティ部 Yonemori

キーワード:テレワーク、セキュリティ、課題、BYOD

新型コロナウイルス感染症の拡大により、多くの企業で急速にテレワークが広まりました。しかし、テレワーク環境の情報漏えいリスクを危惧されている企業も多いのではないでしょうか。アフターコロナを見据え、テレワークを標準的な働き方として定着させていくために、あらためてチェックしておきたいポイントをご紹介いたします。

シリーズ第1回目は、「BYOD(*)の運用ルール」です。

 (*)BYODとはBring Your Own Deviceの略。社員が私有のスマートフォンやパソコンを仕事で使うことを意味します。

新型コロナウイルスの混乱に乗じたサイバー攻撃

社会不安・混乱は攻撃者にとって格好のタイミングとなります。ある調査によると、2019年と比較し、2020年は大幅にインシデント件数が増加しており、特に「BYOD」が発端となるセキュリティインシデントが増加傾向にあります。ではなぜ、「BYOD」が攻撃の標的になってしまうのでしょうか?

以下の調査によると、BYODは導入のしやすい反面、セキュリティ対策が個人任せになり、十分な対策が取られていないことがわかりました。「疑わしいクラウドサービスは利用しない」や、「BYOD(PC)にパスワードを設定する」などの対策は比較的なされていますが、反面、家族間でBYOD(PC)を共有したり、業務データを暗号化せずにBYOD(PC)にダウンロードするなど、情報漏えいのリスクが潜んでいることがうかがえます。このようなセキュリティ対策の緩和な状態が、攻撃者の標的となっていると言えます。

【グラフ:BYODに関する個人によるセキュリティ対策の実施状況】

(引用:独立行政法人情報処理推進機構 ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 2021年4月発行)

BYODを活用したテレワークのセキュリティ対策は、運用ルールづくりから

上のグラフからもわかるように、会社側が運用ルールを示している例はまだ少ないようです。リスクを認識するためにも、BYODの運用について「明確なルール」が作成することをお勧めします。最も重要なポイントは、会社が認めた業務のみでBYODを利用することです。 予め利用目的と業務範囲を明確にし、申請と承認のしくみを作っておくことが重要です。他にも、以下のガイドラインを参考に、自社の状況に合わせた社内規定・ルールの整備を検討されてはいかがでしょうか。

ガイドライン名・ホームページ運用者概 要
テレワークセキュリティガイドライン 第4版 https://www.soumu.go.jp/main_content/000545372.pdf総務省テレワークにおける情報セキュリティ対策の考え方、対策のポイント、テレワークトラブル事例と対策一覧などがまとめられている
テレワーク時における秘密情報管理の ポイント https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/teleworkqa_20200507.pdf経済産業省テレワークに対応した規程の整備等について、Q&A形式でまとめられている
サイバーセキュリティ経営ガイドラインVer2.0 実践のためのプラクティス集  第2版 https://www.ipa.go.jp/security/fy30/reports/ciso/index.htmlIPAテレワークへの対応を前提としたものではないが、サイバーセキュリティリスクに対応するためのポリシーや規程改訂について、具体的な改訂プロセスを含むプラクティスが掲載されている
中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/security/keihatsu/sme/guideline/IPA一般的な情報セキュリティ規程の作成手順についての解説や、情報セキュリティ関連規程のサンプル(付録 5)を参照することができる
テレワークモデル就業規則~作成の 手引き~ https://www.mhlw.go.jp/content/11911500/000683360.pdf厚生労働省テレワーク導入の際に検討が必要な就業規則についての考え方や、参考すべき規定例、組織におけるセキュリティガイドライン策定の必要性等がまとめられている
テレワークのガイド・事例等 https://japan-telework.or.jp/suguwakaru/guide/一般社団法人 日本テレワーク協会テレワーク導入の際に参考となる各種ガイドラインや事例集等が掲載されている
みんなでしっかりサイバーセキュリティ https://www.nisc.go.jp/security-site/telework/index.html内閣サイバー セキュリティセンターテレワーク実施者を対象とし、情報セキュリティを確保するための対策や注意点を簡易に説明している

【表:関連ガイドライン・ホームページ概要】

(引用:独立行政法人情報処理推進機構 ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 2021年4月発行)