作業効率アップ？！ISO27001におけるテレワークの情報セキュリティ対策とは

みなさんこんにちは！わらがい紗羅＠ISOプロです。

コロナ渦や働き方改革の流れもあり、テレワーキングが一般的になってきましたね。私もこの4月から在宅で仕事をするようになりました。

レノボ・ジャパンが12月8日付けで発表したテレワークの実態調査では、「通勤が当たり前ではないと思うようになった」、「実際に会わなくてもオンライン会議で問題ないと思うようになった」と回答した人は8割を超えそうです。この結果から在宅で仕事をすることが当たり前と認識する人が多くいるということが分かりますよね。

多様化する働き方にテレワークは効果的だといわれる一方で、テレワークの一番の脅威といえば、自宅という組織の管理が行き届かない場所で業務をするというセキュリティ面が大きな課題となってきます。

今回は、ISO27001の情報セキュリティ対策と取得することによるメリットについてお話してきたいと思います。

テレワークにおける情報セキュリティリスクと対策

会社以外の場所を就業場所とするテレワークでは情報セキュリティ上のリスクを含んでいます。情報資産を管理している社員が会社以外の場所からアクセスできるということは、リスクであることは言うまでもありません。

では、組織の管理外で行うテレワークではどのようなリスクがあるのでしょうか。情報リスクとその対策について見ていきましょう。

【媒体の紛失】
USBメモリ、PC、モバイル端末、HDDのような記憶可能媒体の紛失は組織にとって大きなリスクです。このような媒体を組織の管理外に持ち出されることになることはそのものがリスクであると言えます。

持ち運び可能な媒体をテレワークでも活用する場合は、簡単に情報にアクセスできないようにパスワードをかけたり、コピーを制御する対策は最低限取っておきましょう。また、可能ならクラウドサービスを利用することを検討してもいいかもしれません。

【不正アクセス】
私用のWi-Fiを使用したり、自宅に通信環境がない場合には、カフェなどの公衆無線LANを利用して業務を行うこともあるかもしれません。Wi-Fiのセキュリティ環境やパスワード管理までは組織が行うことができないため、リスクがあります。

Wi-Fiの利用時にはVPN（バーチャルプライベートネットワーク）を使用するなど通信を暗号化するのもひとつの手段です。また、会社支給のWi-Fiによる通信以外は制限をかけるなども視野にいれることが望ましいでしょう。

【機密情報の漏洩】
在宅ワークでは、オンライン会議を行うことがあると思いますが、このような場合にリスクになり得るのが従業員の家族や同居する人たちです。

シェアハウスで暮らしている人も増えてきたため、従業員当人が情報を漏らさなくても同居人がふと聞いてしまった機密情報を漏洩させてしまうことも考えられます。さらにカフェなどで作業をする場合は第三者に覗き見される危険性も考えられます。テレワークを行う際には、情報を取り扱う環境に適しているか見直す必要があるでしょう。

【ウイルス感染】
インターネット上には様々なウイルス感染のリスクが存在します。トロイの木馬等の有用なソフトウェアを装ったマルウェアは一度コンピュータ内部に侵入されると情報を抜き出されてしまうのです。

こういったソフトウェアを勝手にダウンロードしないように組織支給のWi-Fiに制限をかけたり、インストールを行う際には申請を行う形式にして十分にリスクを分析した上で行うなどして万全の対策をとっておきましょう。

オフィスで仕事をすることが100％安全課といえば違うかもしれませんが、会社外で仕事をするということは様々な情報リスクに晒される危険性があるのがよく分かりました。

また、テレワーク実施企業の約4割においては、テレワークのためのセキュリティ対策が追い付いてないのが現状だそうです。そこで活用していきたいのが、情報セキュリティに関する国際規格ISO27001です。

ISO27001による情報セキュリティ対策の標準化

ISO27001は、世界中で様々な企業が取得しています。特に日本は情報セキュリティ専門の担当者がいる企業が少なく、十分な情報リスクに備えられている企業が少ないと言われています。そこで国際水準で情報セキュリティ対策が行えるISO27001の取得は有効でしょう。
実際に情報セキュリティ対策に悩む企業も多く、テレワーク導入を機にISO27001を活用して情報セキュリティに備える企業も増えているみたいです。

ISO27001とは、組織が扱う情報資産に対する情報セキュリティマネジメントシステムに関する規格です。この規格は情報の「機密性」「完全性」「可用性」の3つをバランスよくマネジメントしていくためのものです。

組織が直面する情報セキュリティ上のリスクを洗い出し、そのリスクを分析。リスクに対して適切な対策を講じ、実行し、その情報セキュリティ活動をレビューすることによって再度計画を練りなおす…という一連の流れを合理的な判断のもと行えるように整理された枠組みなのです。

企業に付きまとう情報リスクは常に変わるので、ずっと同じセキュリティ対策を続けていても意味がありません。PDCAサイクルを継続的に回して、情報リスクに備える必要があります。情報を保護するための規定を設けて企業が可能な範囲で管理が行えるように対策を取ることが現実的だと思います。

作業効率アップ？！ISO27001取得のメリットとは

ISO27001を認証取得するとどのようなメリットがあるのでしょうか？

一番分かりやすいメリットは「信頼の向上」です。
ISO27001を取得した企業は「一定水準のセキュリティを保ち、積極的に情報セキュリティ対策に取り組んでいる」とみなされることになります。この規格を認証することは顧客や取引先など対外的に自社の情報セキュリティについて簡潔にアピールする方法になるのです。

次に、ISO27001の目的である「情報セキュリティリスクの低減」が挙げられます。
要求事項を満たせば100％完璧な情報セキュリティ対策が施せるというわけではありませんが、情報セキュリティというフィールドにおいて合理的な決定が下せるようになるため、自然とセキュリティ水準は高まっていきます。
サイバー犯罪や情報漏洩に対して世間からの目も厳しい現代において、情報セキュリティリスクの低減は必要不可欠だと思います。

次に、「業務効率の向上」挙げられます。
情報にアクセスしてもいい人がアクセスしやすい状態に保ち、さらに情報にアクセスしてはいけない人がアクセスできない状態を保つためには、情報に整理整頓が必要になります。管理をしやすくするということは、シンプルかつ盤石な体制を築くことにもつながります。結果として、業務効率の向上を期待することができるのです。

また、全てのリスクの対策に講じていてはキリがないので、リスクの重要度や発生頻度、影響力をみてリスクを保有するという選択もあります。リスクアセスメントの結果、受容することができるリスクであった場合はリスクを保有することも検討しましょう。リスクの保全とは、「そこにリスクがある」と把握した上で対策を講じずに監視だけ行うという管理方法です。

優先順位をつけて管理するという意味でも無駄な工数が発生しないため、業務の効率化が図れるんではないかなと思いました。

最後に

今回は、テレワークに潜むリスクとその対策、ISO27001についてお話していきましたが、いかがだったでしょうか。

機密性の高い情報が社外へ出てしまうとサイバー犯罪などのケースで企業が事実上の被害者となる可能性が大いにあります。また、クライアントや雇用している社員に対して加害者にもなってしまうため、社会的な責任を問われる恐れがあることも事実です。

ISO27001は情報セキュリティ上のリスクを限りなく低減し、そして万が一問題が起こったときに適切な対策を取ることができるような体制を構築してくことであり、インシデントを完全になくすことはではありません。もちろんインシデントの発生件数が0になるに越したことはありませんが、マネジメントシステムは情報セキュリティを守るためのツールの一種なのです。

テレワーク導入を機にISO27001を活用して情報セキュリティに備える企業も増えているみたいなので、この際に取得を検討してみてもいいかもしれません。

最後まで読んでいただきありがとうございます。今後ともISOプロ、わらがい紗羅＠ISOプロをよろしくお願いいたします！

☟☟ぜひTwitterのフォローもよろしくお願いいたします！☟☟

ISOプロ　　@isopro_haccp

わらがい紗羅＠ISOプロ　　@iso_waragaisara

☟☟ISOプロのサイトはこちら☟☟

【ISOプロ】ISO・HACCP認証の取得運用支援｜月間訪問者数No.1