東京都が開設したサテライトオフィス「TOKYOシェアオフィス墨田」が、 都内の施設で初めて「安心安全テレワーク施設認証プログラム」のプレミアムグレードを取得
浅草駅から徒歩14分、本所吾妻橋駅から徒歩9分、東京スカイツリーにも近い場所に東京都が開設し、公益財団法人東京しごと財団が運営するサテライトオフィス「TOKYOシェアオフィス墨田」があります。
この「TOKYOシェアオフィス墨田(以下、TSO墨田)」が、2022年11月に都内の施設で初めて「安心安全テレワーク施設認証プログラム」の「プレミアムグレード」を取得しました。
「安心安全テレワーク施設認証プログラム」は「一般社団法人日本テレワーク協会」と「一般社団法人セキュア IoT プラットフォーム協議会」が運営し、認証するものです。
「安心安全テレワーク施設認証プログラム」とはどのようなプログラムなのか、日本テレワーク協会の大沢さんにお話しをうかがいました。
また、TOKYOシェアオフィス墨田を運営している東京しごと財団の中村様には、「安心安全テレワーク施設認証プログラム」に参加された目的などをうかがいました。
■認証の基準となる「安心安全テレワーク施設ガイドライン(第1版)」とは
大沢さん:「日本テレワーク協会」と「セキュア IoT プラットフォーム協議会」では、「安心安全テレワーク施設ガイドライン(第1版)」という2022年4月に発表したガイドラインを認証基準にした認証プログラムを提供しています。
このガイドラインは7章で構成されていて、1章~5章はセキュリティに関する内容、6章は作業環境、7章は施設環境に関する内容となっています。
大沢さん:認証は1章から6章に適合することが要件となっています。基本的に1章から6章は法律やガイドラインで定められた内容を第三者の利用に供する施設であるテレワーク施設の特性に合わせてまとめています。
認証プログラムの運営の体制ですが、認証機関は「日本テレワーク協会」と「セキュア IoT プラットフォーム協議会」です。
セキュア IoT プラットフォーム協議会はセキュリティの専門事業者が集まって作られた団体です。
認証機関の役割は、まず検査をする事業者を要件に沿って指定すること、検査をした結果を確認の上、認証の可不可を判断すること、テレワーク施設事業者さんが施設の作業環境をセルフチェックされたものを確認すること。最終的に、要件に適合していれば認証して、TSO墨田の入口にも置いてありましたが、認証証書であるとか、認証マークを付与して、認証を取得したことを公開しています。
検査をする事業者の指定は、高度な要件となっています。経済産業省の情報セキュリティサービス基準に適合していて、IPA(独立行政法人 情報処理推進機構)が公開しているリストに掲載している、などの要件を満たした事業者さんを指定しています。
大沢さん:認証にはビジネスグレードとプレミアムグレードがあり、TSO墨田さんはプレミアムグレード認証に適合されています。
それでは、ガイドラインの内容を説明いたします。
<第1章.セキュリティ管理体制の構築>
大沢さん:【基本対策】[対策①:情報セキュリティポリシーの策定]
情報セキュリティポリシーと
[対策②:利用規約の策定・利用者の同意][対策③:施設の保有する情報(データ)の保護]
それに沿って利用規約を定め、保有する情報をしっかり把握して漏洩等のないように管理されていること。
[対策④:セキュリティ事故発生対応マニュアルの策定][対策⑤:セキュリティ教育、研修、訓練の実施][対策⑥:最新の情報セキュリティ情報や関連法令の確認]
また事故対応マニュアル、研修・訓練、そして最新のセキュリティ情報の把握、この6つの内容を実際にやっているエビデンスを示してもらい監査していきます。
<第2章.個人情報・利用者管理>
大沢さん:【基本対策】[対策①:個人情報保護ポリシーの策定][対策②:個人情報の適切な管理]
個人情報保護ポリシーを定め、
[対策③:テレワーク施設が提供するWebサイトの適切な管理][対策④:利用ログの取得・管理]
それからテレワーク施設を予約する場合など利用者がアクセスするWebサイトやアプリの個人情報が保護されているかの確認。そのWebサイトの利用ログが安全に管理されているかという観点の4つです。
<第3章 入退室管理>
大沢さん:【基本対策】[対策①:利用者の本人確認][対策②:入退室記録・ログの取得・管理][対策③:入退出管理システム等の管理者パスワード設定]
本人確認をして、入退室を記録します。入退室管理システムを運用しているのであれば、そのシステムの管理者のパスワードの管理。第三者に推測されない複雑なパスワードの設定をお願いしています。
【応用対策】[対策④:電子的・生体認証による入退出管理システムの導入]
入退室管理システムに電子的・生体認証による入退出管理システムを導入しているかという確認です。
ICカードや指紋などの情報を活用してセキュリティ対策を行っているかを確認させていただきます。
<第4章 ネットワークセキュリティ>
大沢さん:【基本対策】[対策①:セキュリティアップデートの実施][対策②:初期設定の変更]
自宅のWi-Fiルーターなどもそうですが、買った時点はアップデートされていないです。最近買ったから大丈夫です、というのはだめで、機器に組み込まれているソフトウェアのアップデートが必要です。それから初期設定の変更、これも個人の方の場合、法人の方もですが、初期設定を変えていない方が非常に多いです。これを適切な設定に変更する必要があります。
[対策③:管理者パスワードの適切な設定]
規模によって機器の数が全然違いますが。施設によってはWi-Fiルーター1個置いてあるだけというところもあれば、TSO墨田ぐらいの規模感のところであれば複数の機器が置いてありますので、そちらの管理者パスワードの適切な設定を行っていただくということになります。
[対策④:無線LANアクセスポイントの適切な設定]
無線LANの暗号化強度の確認です。適切な強度の暗号化方式に対応していただくということと、ファームウェアのアップデートをされていないケースは多々あるので、アップデートをされているか確認をします。
[対策⑤:無線LANアクセスポイントの利用者接続パスワード設定と管理]
無線LANのアクセスポイントは定期的に、1年を目安に変えていただくようにお願いしています。また、基本的には目立つ掲示をしていただかないようにお願いしています。
大沢さん:[対策⑥:利用者の端末間通信の禁止設定]
利用者が別の利用者の端末にアクセスできないような設定を、施設のWi-Fiのアクセスポイントで実施していただくというのがこの内容です。
[対策⑦:業務用ネットワークとの分離]
お客様に提供するネットワークと業務用のネットワークを分けてください、ということです。
[対策⑧:アクセス制御]
これはファイアウォールなどですね。外部からいろんなアクセスがされないようになっているということです。許可した通信しかアクセスできないようにするということです。
[対策⑨:アクセスログの適切な管理]
これはアクセス制限をすることで実際にアクセスのログが残りますので、それを管理する。これは何かあった時に証跡として活用するというようなものです。
[対策⑩:複合機に蓄積されたデータの消去][対策⑪:複合機の出力管理]
複合機はハードディスク、ないしはハードディスクに準ずるような記憶媒体を基本的に持っています。持っている場合にそれを消去できるような仕組みが今はほぼデフォルトで搭載されていますが、定期的に消去していただくということです。また、出力した紙などを出しっぱなしにすることがないようにということです。
[対策⑫:レンタルPC]
PCの貸出をやっている場合には、OSやウイルス対策ソフトなどを常に最新化しておくということです。
【応用対策】[対策⑬:高度なセキュリティの導入]
基本的にはネットワークの診断です。オンサイトで検査事業者がネットワークの脆弱性がないかを診断します。
[対策⑭:複合機の媒体接続制限]
複合機にUSBメモリをさして出力することは、そのUSBメモリが安全かどうか確証が取れませんので基本的には制限していただくという内容です。
<第5章.物理セキュリティ>
大沢さん:【基本対策】[対策①:オンライン(Web)会議等への対策]
オンラインの音漏れがないようにということです。
[対策②:手荷物の管理]
放置しておくことの危険性をちゃんと注意喚起するということです。
[対策③:シュレッダー、溶解BOXの導入]
記憶媒体や重要書類を一般ゴミに捨てることによるリスク等について、利用者の注意を喚起するということです。また復元処理が困難なセキュリティ性の高いシュレッダーや中身の取り出し防止機能の付いた溶解BOXを設置すること等を対策としていただくようお願いしています。
[対策④:サーバーや端末の廃棄]
これは施設で管理されているサーバーや端末がもしあれば、それを廃棄する場合には、きちんと廃棄の手続きを踏んでください、ということです。ただ捨てるだけでは情報を漏らすのと全く一緒になりますので。
[対策⑤:ネットワーク機器の設置場所]
ネットワーク機器等を一般の人が触れないように対策をするということです。
【応用対策】[対策⑥:サウンドマスキングの導入 ]
これはよくあるケースは、完全防音じゃないWeb会議等のブースがあったときに、サウンドマスキングといって音を出して、聞こえないようにする仕組みです。
[対策⑦:施錠ロッカーの導入 ]
これは手荷物の管理等に加え施錠ロッカーまで準備されているかどうかということです。
<第6章.作業環境管理>
大沢さん:【基本対策】[対策①:空気環境の確保][対策②:室温・湿度の確保]
測定結果をセルフチェックとセットで出していただいています。
[対策③:視環境の確保]
視環境というのは明るさ、眩しさ、遮光です。明るければいいというわけではなく、光が映り込んで眩しいというのはだめですし、太陽光が入ってきて眩しい場所であれば、遮光できているかどうかというところを確認させていただきます。
[対策④:騒音の低減措置]
防音措置をとられているかどうかということです。
[対策⑤:作業空間の確保]
一般的に「気積」と定義されています。作業者一人あたり10立方メートル確保するというのが要件です。
[対策⑥:事務作業に適した椅子、机の設置]
机・椅子は細かい規定があって、決められた範囲の中に適合しているかどうかということです。
[対策⑦:水分補給できる環境の確保][対策⑧:定期的な清掃による清潔・安全な環境の確保][対策⑨:救急用具の設置][対策⑩:便所の確保]
清掃・救急用具・便所の確保。便房数というのですが、人数等に対して準備しなければならない便房数が決まっています。そこに適合しているかどうかを確認させていただきます。
【応用対策】[対策⑪:休憩室の設置][対策⑫:点検リストの作成および定期点検の実施][対策⑬:衛生管理知識の習得]ということをお願いしています。
大沢さん:応用対策にありました脆弱性診断ですが、具体的な実施内容の1つ目がネットワークの脆弱性の診断ということで、検査機器を実際のネットワーク環境に繋げて脆弱性がないかを確認します。2つ目がWi-Fiの脆弱性について、オンサイトでアクセスポイントにアクセスして適正な暗号強度か、全ての電波が管理されているかなど確認します。
情報セキュリティ要件に関してですが、監査と脆弱性診断の二つを説明しました。基本・応用対策に適合している場合にはリスクを「低未満」と評価しています。基本対策に適合している場合は「低」と評価しています。低未満、低以外は全て認証の「適合範囲に満たない」と評価をしております。脆弱性診断については対策を講じるべきリスクがない場合「低未満」、将来的に改修が推奨されるリスク、危険性の低いリスク、ないしはその両方がある場合には「低」と評価しています。低未満、低以外は「不適合性」としています。
作業環境についてはチェックシートをテレワーク施設事業者に出していただきますが、チェックシートだけでは判断できませんので、適合を示す証跡を一緒に提出していただきます。それと照らし合わせて評価をした上で認証の判断をしています。
認証基準に適合すれば認証証書を発行し、日本テレワーク協会のホームページで認証施設であると表示しています。
――このプログラムは、申請してから検査して、適合しているか結果が出るまでどれくらい時間がかかるのでしょうか。
大沢さん:スケジュール調整から始まって、およそ3ヶ月程度はかかります。
■日本テレワーク協会が情報セキュリティの認証プログラムをはじめた理由
――このプログラムは、日本テレワーク協会さんではいつから運用されているのですか。
大沢さん:本格的に認証を始めたのは2021年3月、ガイドラインの改定をした時点からです。
―― 認証プログラムをはじめた背景をおうかがいできますか。
大沢さん:サテライトオフィスに特化したセキュリティの基準が存在せず、施設の数や利用者が増えている状況を踏まえて、必要なものと考えました。
―― 認証を受けようと思っている施設側が、情報セキュリティに関する知識や運用の経験が少ない場合に、このプログラムに参加することで運用方法に関するアドバイスなどをしてもらうことはできるのでしょうか。
大沢さん:はい。このプログラムはコンサルティングもしながら認証を取得していただいて、安心安全な施設を増やしていくことを目的としています。現状と求められる姿のフィットギャップ分析をまず簡単に行わせていただきます。
私たちは足りない部分をアドバイスして足りるようにしていただくところからスタートしているので、テレワーク施設事業者は、セキュリティと作業環境について有用なアドバイスが得られると思います。
■TSO墨田が東京都内で初めて安心安全テレワーク施設認証プログラムの認証を取得した理由は?
―― TOKYOシェアオフィス墨田は施設のオープンが2022年の春ですが、オープンする時には、このプログラムに参加しようと考えられていたのでしょうか。
中村さん:もともとセキュリティは高める必要があると思っていました。サテライトオフィスの利用について調査をしてみたところ、「サテライトオフィスを使わない理由はなんですか?」という質問に対して「セキュリティ面が不安だから」という回答が一番多かったためです。
その回答結果があったので、施設を運営している委託事業者に「TOKYOシェアオフィス墨田は安全なセキュリティを保っているとPRできますか?」と聞いたら「サテライトオフィスとして必要な対策は全部やっているつもりではいますが、安全です、までは言い切れません」と言われてしまったのです。
当時はセキュリティについてよくわかっていなかったので、ではISO27001を取得すればよいのか?と思ったらISOは事業者さんが取るもので、当施設のように多人数が出入りするようなオープンなスペースが取るものではないということが調べた結果わかりました。それで、日本テレワーク協会さんの賛助会員だったため、このプログラムに参加することにしました。
もしアンケートで「安全性が不安」ということが出てなければ、「一般のテレワーク施設と同等の安全性です」と言えれば大丈夫と思っていたのですが、そこに対しての危惧感が一番大きいと調査結果が出たため、私たちは後発参入の施設なので、そういうところで安心感を与えて利用者を増やしていかないといけないのだろうなということで認証の取得を目指しました。
―― 今まで、第3者が利用する施設の認証プログラムというのは日本にはあったのでしょうか?
大沢さん:日本ではないと思います。
中村さん:私が調べたところでは、サテライトオフィスのセキュリティの安全性を担保するっていう認証をされているのはたぶんここだけしかないと思います。
―― 日本で唯一の認証プログラムということですね。
中村さん:私たちは、先ほどの話にもあったように総務省も関係しているガイドラインということで、この資格を取得して安全性をお客さまに約束しようということで認証取得にいたったということです。
大沢さん:中村さんからお話があったように、「安心安全テレワーク施設ガイドライン」は総務省、厚生労働省、経済産業省にオブザーバーとして参加いただいて作っています。
―― お話しをうかがって、認証を取得する価値があるものだとわかりました。今、ネットカフェやコワーキングスペースなど、テレワーク施設は色々あると思いますが、そのような施設にこの認証を取得してもらいたいとお考えですか。
大沢さん:そうですね、例えば三井不動産さんの「ワークスタイリング」という施設が今100箇所以上認証をとられています。業界を引っ張っていこうと考えられている方々は、この認証プログラムにすごく関心をもっていただいています。
中村さん:東京都としては今、「未来の東京」戦略で2030年に東京都内企業のテレワーク導入率がの80%になるという目標を立てて動いています。
それにあたって、テレワークの概念がもともと自宅か会社かになっていたのですが、変化しています。ライフステージによっては、自宅ではテレワークができない方がいます。私もそうでが、妻と二人で家でテレワークをしている時に、Web会議が始まったら、どちらかが家から出ないといけない。家が狭いと、そうなった時にトイレくらいしか座れる場所がないとなるとテレワークができない。
そこで、東京しごと財団ではサードプレイスとしてサテライトオフィスを作っていただきたいということで、民間事業者の進出の少ない多摩・島しょ地域を主な設置個所にすることを推奨するサテライトオフィス設置等補助金を出していました。
私たちもこの施設を運営するにあたって、サテライトオフィスを使ってもらえない原因の一番が「セキュリティ環境」だとわかったわけですが、それは利用者本人というよりも、どちらかというと会社の代表や総務部門の方の判断なのだと思います。会社サイドがセキュリティ上の問題があるためテレワーク施設を使わせない状況下で、家にもいることができないなら職場で働くしかないというテレワークを推進する上では悪循環になりそうだと私たちは感じました。
サテライトオフィスは、実際に設置数がだんだん増えていっているので、その中で会社が利用を認めない原因がセキュリティだとすれば、やっぱり最後はこういう認証プログラム取得に行き着くような気がします。
――運営している施設側は、この認証プログラムに適合することで、施設の安全性やセキュリティ対策がしっかりされていることをPRできるわけですから、施設の価値が上がりますね。今後は、ホテルなどもこの認証プログラムに参加したりするのでしょうか。
大沢さん:島根県松江市にある松江ニューアーバンホテルさんが、新しくホテル内に作ったテレワーク施設が取得されています。ニーズはあるとは思います。
―― これから、この認証プログラムを取得して安全なセキュリティ環境を完備した施設が増えると良いですね。今日は、お忙しいところ、ありがとうございました。
〔取材のご協力〕
【TOKYOシェアオフィス墨田】https://tso-tokyo.jp/
東京都墨田区本所3-15-5
営業時間:平日9時 - 19時(土日・祝日・年末年始を除く)
【公益財団法人 東京しごと財団】https://www.shigotozaidan.or.jp/
【一般社団法人 日本テレワーク協会】https://japan-telework.or.jp/