【企業向け】テレワーク時のセキュリティ対策・規程サンプル

昨今、テレワークの普及に伴い、テレワークを狙ったセキュリティ犯罪が増加しているとの報告が上がってきています。

企業が講ずべきテレワークに対するセキュリティ対策の具体例や規程について解説いたしますのでご参考下さい。

総務省が公表している「テレワークセキュリティガイドライン」をベースに、内部統制を行っていく必要が御座いますが、より具体的、効果的な対策を取るにはガイドラインのみに従っていてもダメな場合があります。

大きく分けると下記３点が必要となります。

①従業者への教育

②適切なネットワーク構築

③テレワーク作業時のルールの制定

①従業者への教育

従業者に対し、定期的及び適宜に教育を行います。テキストを用いてテストを実施しても良いですし、集合教育を行い理解を深めるのも良いでしょう。

②適切なネットワーク構築

社内ネットワークとインターネットの境界にはファイアーウォールやルータを設置する。外から持ち込まれたランサムウェア等の感染に備え、バックアップを社内システムから切り離したコールドな場所に補完する　等々

③テレワーク作業時のルールの制定

　・公共のwi-f-の使用を禁止

　・第三者に覗かれるような環境での作業の禁止

　・OS、ウィルスソフトを最新状態にする

　等々

セキュリティ事故の例

・ 社員が電車の網棚に、顧客情報の保存されているノートパソコンの入ったカ

バンを置き忘れたことが原因で大量の顧客情報が漏えいした。

・ テレワークを実施する際、ウイルス対策ソフトの定義ファイルを最新のもの

に更新していなかったため、新種のウイルスに感染してしまった。

企業向け規程サンプル

一般的な内容となりますのでどんな職種・規模でも使用できる内容となります。

---

■テレワーク時の安全管理策

a)情報システム管理者が講ずべき対策

①従業者の情報セキュリティに関する認識を確実なものにするために、テレワークセキュリティに関する教育・啓蒙活動を定期的に実施する。

②必要な情報セキュリティ対策が各テレワーク端末に施されている事を使用者に確認させる。

③ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する。

④テレワーク勤務者がインターネット経由で社内ネットワークにアクセスする際のアクセス方法を定める。また、社内ネットワークとインターネットの境界線はファイアウォールやルータ等を設置し、アクセス状況を監視するとともに、不必要なアクセスを遮断する。

⑤ファイル共有サービスなどのパブリッククラウドサービス利用は情報システム管理者が許可したものに限って使用を認め、許可に先立ち、当該サービスの提供事業者における情報セキュリティ遵守や当該サービスのセキュリティ機能について確認する。

b）テレワーク勤務者が実施すべき対策

①定期的に実施される情報セキュリティに関する教育・啓蒙活動に積極的に取り組むことで、情報セキュリティに対する認識を高めることに務める。

②マルウェア感染を防ぐ為、ＯＳやブラウザ（拡張機能を含む）のアップデートが未実施の状態で社外のWebサイトにアクセスしない。

③アプリケーションをインストールする際はその安全性を確認し、禁止されているものに該当しないか確認する。また、禁止されているアプリケーション以外でも、安全性に疑いのある場合は管理者に確認を行う。

④作業開始前にウィルス対策ソフト及びＯＳ、ソフトウェアについて最新の状態である事を確認する。

⑤無線ＬＡＮを使用する場合、安全性の高い暗号化方式を使用する（WPA2以上のセキュリティ強度を持ったもの）

⑥第三者と共有する環境で作業を行う場合は、端末の画面にプライバシーフィルターを装着するか、作業場所を選ぶことにより、画面の覗き見防止に努める。

⑦前項②において確認した端末に限ってテレワークに使用する。