音声読み上げの利用時に配慮して、ナビゲーションをスキップして、コンテンツへジャンプします。
メインメニューへジャンプします。
サイト情報へジャンプします。


ホーム > 資料 > テレワーク・チュートリアル
資料テレワーク・チュートリアル
資料
    テレワークと情報セキュリティ

    (セキュリティポリシー)

    テレワークでは、情報通信手段により企業ネットワークにアクセスする機会が多いことから、導入に当たっては情報セキュリティの確保について十分な配慮が必要です。

    もっとも、情報セキュリティの重要性はテレワークに限ったことではなく、企業全体の問題です。どのような情報を、どのようにして、誰から守るのかというセキュリティポリシーを確立する必要があります。テレワーカもこれに従い、ハード、ソフト両面から対策を講じることになります。

    セキュリティについては暗号化とかファイアウオールとか、とかく技術面が強調されますが、現実には規則やその運営という日常的な管理が問題になることが多いといえます。いかに強力な暗号をかけても、パソコンの前に個人のパスワードのメモ書きが張ってあるようでは穴の開いた桶のようなものです。ウイルス対策ソフトのアップデートは必須ですし、ファイアウオールの設定ミスにも十分な注意を払う必要があります。

    どの会社でも、オフィスには様々な人々の出入りがあります。外部の訪問者,清掃人、派遣社員、アルバイト等々です。管理が甘い場合には、ノートパソコン、あるいは1枚のフロッピーディスクから顧客情報などの機密情報が漏洩する危険が常に潜んでいます。

    情報セキュリティポリシーが策定されていなければ、まずこれを確立することからはじめましょう。あまり難しく考える必要はありません。社員の就業規則や文書管理規定、それに社内ネットワークの利用や社用パソコンの取り扱い規則などをベースにして情報セキュリティの観点から考え方の基本を整理すればいいのです。

    まず、社内の情報を一定の基準に基づいて重要度別に分類することです。どの会社にも文書管理規定というものがあり、機密、社外秘、部外秘、一般などというような区分けがされています。それぞれの意味と管理方法を決めた上で、書類やデータを再整理するのがよいでしょう。

    顧客情報や社員の人事情報など、機密を要するものはネットワークでのやり取りを制限あるいは禁止する必要があります。また、常にバックアップを取り、万一の消失に備える必要があります。

    次は、書類、データの管理者とアクセス権を持つ利用者をきめます。各部門の情報管理責任者が一定の基準にもとづいて設定します。

    社員に対してアクセス権限があたえられれば、自ずとテレワーカに対しても職務の性質を考慮して権限が付与されます。

    特に、テレワーカについては社外から重要文書へアクセスする可能性もあることから、技術面でのセキュリティ対策が本当に安全なものであるか判断した上で、アクセス権を決めなければなりません。テレワーカにとって営業活動のために顧客情報が必須のこともあるでしょうから、特に取り扱いを厳重にしなければなりません。

    研究者に在宅テレワークを認めているある会社の場合は、特許などの知的所有権に関係する書類のテレワークでの作業を禁じています。

    (セキュリティ技術)

    ここではテレワークを導入したときにまず、直面するであろう情報セキュリティについての懸念とそれに対する技術的な対応について解説します。

    では、情報にとって何が脅威なのでしょうしょうか。一言でいえば、クラッカと呼ばれる悪意を持った人が公衆通信網や社内ネットワークに侵入し、WEBを盗み見たり、データを改ざんしたり、正規の通信者であるかのようになりすまして情報を詐取することなどでしょう。

    このような直接的なセキュリティの侵害とともに、ウイルスの感染による被害も情報セキュリティを脅かす深刻な問題です。電子メールはテレワーカにとっても大変利便性の高い通信手段ですが、ウイルスの約9割は電子メール経由で感染しているといわれていますので要注意です。ウイルスに感染したパソコンではデータが勝手に書き換えられたり、破壊されたり、ファイルが知らない間に送付されたり、被害は後をたちません。したがって、悪意をもった人々から大切な情報を守るための対抗手段を講じなければなりません。

    テレワーカ側でのセキュリティ対策、通信回線上でのセキュリティ対策、企業内でのセキュリティ対策にわけて考えてみましょう。

    1.テレワーカ側での対策

    テレワーカにとってパソコンは重要な作業ツールであり通信手段でもあります。

    このなかには作業中の文書や社内からダウンロードした重要文書も入っているかもしれません。そこで、ログオン時のパスワードによる認証機能を必ず利用することです。

    もっとも気をつけなければならないのは盗難や携行したときの紛失です。意外に多いのは電車の棚に置き忘れることです。USBキーやスマートカードによる認証方法をとれば利便性もよく万一の紛失、盗難でもデータを解読される危険性は少なくなります。

    また、パソコンの持つ暗号化機能により大切なファイルを暗号化しておくことも有効です。

    次はウイルス対策です。ウイルスとは不正プログラムの総称です。最近のパソコンの標準で装備なってきましたが、ウイルス対策ソフトをインストールすることです。ウイルス対策ソフトにはこれまでに発見された様々なウイルスパターンが記憶されており、これとプログラムファイルとを比較することでウイルスを検出し、駆除してくれます。ただし、日々新種のウイルスが出現していますから、ウイルス対策ソフトのアップデートは欠かせません。ネットワーク上で簡単にできますので定期的にやってください。一般には電子メールに添付されたファイルから感染するケースが多いですから、差出人不明の添付ファイルなどは開かないのが賢明です。

    2.通信経路での対策

    業務の内容によっては電子メールがあれば十分という場合もあるでしょうが、会社内のLANに自宅から接続して社内にいるのと同等の作業環境を作りたいという要望もあるでしょう。ここでは低コストで実現できるインターネットVPN(インターネットを利用した仮想の専用線)について考えてみます。VPN の機能は?通信相手が本物か認証 ?データを暗号化 ?カプセルにデータを包む という処理の後、データをインターネットへ送り出します。

    テレワーカのパソコンにはVPNのクライアントソフトをインストールします。最近のパソコンOSには標準でVPN ソフトが実装されていますので、その場合はパラメータの設定をするだけで済みます。 企業側のネットワークの入り口にはVPN機能を持ったゲートウエイを設置します。専用のハードウエア(VPN装置)やルータ、ファイアウオールの付加機能としても提供されています。 テレワーカのパソコンと企業側のゲートウエイとの間はトンネリングと呼ばれる暗号化された専用のチャネルが設定され通信経路上でのセキュリティレベルは格段に向上します。IPsecとよばれるトランスポート層での暗号化および認証を行うプロトコルやPPTPといわれるデータリンク層でのプロトコルが利用されます。PPTPの場合は、IPに限らず、IPXやAppleTalkなどすでに会社内で使われているプロトコルをそのまま使うことができます。

    3.会社側での対応

    社内サーバへのアクセス権限は、各サーバごとに管理責任者が個別に管理するケースや、大規模なネットワーク環境ではActive Directoryと呼ばれるような階層型のシステムによりドメインコントローラがすべてのサーバを一括管理しているケースもあるでしょう。いずれの環境でも、重要なことは先に述べた、セキュリティュリティポリシーに従って、テレワーカの認証、各サーバあるいはファイルレベルでのアクセス権限を正しく設定し管理することです。間違った設定によりセキュリティ上の抜け穴を作ってしまう危険性がありますから十分注意が必要です。

    コストはかかりますが固定のパスワードではなく、ワンタイム・パスワードを導入することは、なりすましによる不正アクセスには有効です。VPN装置でのユーザ認証によってアクセスできるサーバを限定するなどのフィルタリング機能と合わせて、ファイアウオールではアプリケーションレベルでのチェックと通信ログの監視によってセキュリティを強化するなど、総合的に対策を講じる必要があります。

    社内で統一の取れたセキュリティポリシーのもとでの設定内容について日常の確認を怠らないことです。このために管理責任者の責任は重大です。情報セキュリティの確保には、毎年一定のコストが発生すること、セキュリティを確保するためにはいろいろ制限が出てくることについても社内の共通の理解、とりわけ経営層の認識が必要です。セキュリティ対策には、これを行わなかった場合のリスク(損害可能性)をできるだけ金額にして、そのコスト比較で実施の適否を判断すべきでしょう。