「急遽テレワークを始めたからルールが整備されていない」「テレワーク環境ではどの程度のルールを設定する必要があるのか判断できない」など、テレワーク時のルール作成に関して困っている方もいるのではないでしょうか。

ISMSの土台でもある規格JIS Q 27001附属書AのA.6.2.2にテレワーキングという管理策がありますが、ここではあくまでテレワークのルールを決めましょうといった程度のことしか求められていないため、どのレベルの対策を取ればいいのか判断することは難しいです。

そこで今回は、テレワークルール構築時に意識するべき以下のポイントをご紹介します。

ポイント

  • ネットワーク
  • 場所
  • 機器

ネットワーク

ネットワークルールは大きく分けて二つの観点から考えることができます。

1. 会社からWi-Fiを貸与している場合

この場合、会社貸与Wi-Fiという形でネットワークの管理を会社側で行うことが可能になっており、かつ、会社の求めるセキュリティレベルを満たしたネットワークを利用してもらうことができるため、ネットワーク面でテレワーク独自のルールや対策を新たに考える必要性はあまりありません

ルール化するとすれば「テレワーク時は会社貸与Wi-Fiを利用する」と明文化することで、確実に会社貸与Wi-Fiで業務を行ってもらえるようにすることができるでしょう。
また、この場合にはテレワークルールとしては後述する「テレワークの場所」を重点的に考えることになります。

2. 会社からのWi-Fi貸与などがない場合

従業者は主に自宅のインターネット回線かカフェなどのフリーWi-Fiを利用することになるでしょう。
この場合には、会社としてネットワーク管理ができないことによるリスクを把握したうえで、ルール設定を行うことが望まれます。ルールの例としては以下のようなものが挙げられます。

  • WPA2以上で暗号化されたWi-Fiのみ利用可能
  • Wi-FiのSSIDをステルス化する
  • 自宅Wi-FiのSSID名を推察されにくいものに変更する
  • 自宅Wi-Fiのパスワードを○桁以上にする

場所

どのような環境下であればテレワークを認めるのかを決めておくことが望ましいです。
もし、特に場所を制限しないのであれば、覗き見や紛失のリスクなどを洗い出して把握しておくことが大切になります。
以下にテレワーク場所のルール設定の例を挙げてみます。

  • 場所を制限するルールを設定しない(どこでもOK)
  • テレワークの場所は制限しないが、あらかじめどこで業務を行うか報告・申請する
  • 閉鎖されている場所(覗き見や第三者にアクセスされない場所)であればテレワークを実施してOK
  • テレワークは自宅のみ実施OK
  • テレワークは自宅に加えて、コワーキングスペースなどの利用もOK

自社の業務効率を下げない範囲でどの程度のレベル感を設定するのが望ましいか検討したうえでルール設定を行いましょう。

機器

ここで指す機器とは、PCやスマートフォンなどいわゆる業務で利用する機器類のことです。
機器に関するルールも大きく分けて二つの観点から考えることができます。

1. 会社貸与機器のみ利用可

この場合は、機器そのものを会社側で管理することができるため、テレワークに合わせて新規にルールを考える必要はあまりなく、通常の機器取扱いルールに従って業務を行えば問題ありません
どちらかというと、覗き見やフリーWi-Fiへのアクセスリスクなど別観点でのルールを明確化しておくことをおすすめします。

2. 私物機器の業務利用を許可

私物機器の業務利用(いわゆるBYOD)を許可する場合、会社として機器の管理を行うことが難しく、また、設定を変えてもらうことなどを無理強いすることも難しいです。
そのあたりのリスクを洗い出したうえで、BYODルールを設定することが求められます。
以下にBYODを認める場合のルール設定の例を挙げてみます。

  • 業務で利用する私物機器は申請制にする
  • 会社指定のアプリのみ利用可能にする
  • 詳細なBYODルールを設定する
    • 会社貸与機器と同様のルールを守る
    • ウイルス対策ソフトの導入を必須にする
    • 家族などとの共有機器は利用しない

このルールをどこまで設定する必要があるのかは組織によって大きく変わってきます。例えば、会社支給機器がメインでBYODは例外措置だとすれば、あまり細かくルールを設定する必要はないでしょう。
一方で、BYODがメインの場合、それによるリスクを把握してルールを設定しながらも、業務上負担にならない線引きも考える必要があります

まとめ

今回はテレワークルールを考える際のポイントについてご紹介してきました。
このルールを守らないといけないという決まったものはなく、あくまでも組織にとってどのようなリスクがあり、対応するためにどのルールが必要なのかということを取捨選択していくことが大切です。

いまは臨時でテレワーク体制になっている組織も多くあるかもしれませんが、今後、テレワークはより一般化していく可能性が高いです。また、現在のような形で緊急的にテレワークを導入しないといけない状況が再びやってこないとは限りません。
このような点からも、テレワークに関する何らかのルールは整備しておくことをおすすめします。

テレワークのセキュリティルールの考え方

「急遽テレワークを始めたからルールが整備されていない」「テレワーク環境ではどの程度のルールを設定する必要があるのか判断できない」など、テレワーク時のルール作成に関して困っている方もいるのではないでしょうか。

ISMSの土台でもある規格JIS Q 27001附属書AのA.6.2.2にテレワーキングという管理策がありますが、ここではあくまでテレワークのルールを決めましょうといった程度のことしか求められていないため、どのレベルの対策を取ればいいのか判断することは難しいです。

そこで今回は、テレワークルール構築時に意識するべき以下のポイントをご紹介します。

ポイント

  • ネットワーク
  • 場所
  • 機器

ネットワーク

ネットワークルールは大きく分けて二つの観点から考えることができます。

1. 会社からWi-Fiを貸与している場合

この場合、会社貸与Wi-Fiという形でネットワークの管理を会社側で行うことが可能になっており、かつ、会社の求めるセキュリティレベルを満たしたネットワークを利用してもらうことができるため、ネットワーク面でテレワーク独自のルールや対策を新たに考える必要性はあまりありません

ルール化するとすれば「テレワーク時は会社貸与Wi-Fiを利用する」と明文化することで、確実に会社貸与Wi-Fiで業務を行ってもらえるようにすることができるでしょう。
また、この場合にはテレワークルールとしては後述する「テレワークの場所」を重点的に考えることになります。

2. 会社からのWi-Fi貸与などがない場合

従業者は主に自宅のインターネット回線かカフェなどのフリーWi-Fiを利用することになるでしょう。
この場合には、会社としてネットワーク管理ができないことによるリスクを把握したうえで、ルール設定を行うことが望まれます。ルールの例としては以下のようなものが挙げられます。

  • WPA2以上で暗号化されたWi-Fiのみ利用可能
  • Wi-FiのSSIDをステルス化する
  • 自宅Wi-FiのSSID名を推察されにくいものに変更する
  • 自宅Wi-Fiのパスワードを○桁以上にする

場所

どのような環境下であればテレワークを認めるのかを決めておくことが望ましいです。
もし、特に場所を制限しないのであれば、覗き見や紛失のリスクなどを洗い出して把握しておくことが大切になります。
以下にテレワーク場所のルール設定の例を挙げてみます。

  • 場所を制限するルールを設定しない(どこでもOK)
  • テレワークの場所は制限しないが、あらかじめどこで業務を行うか報告・申請する
  • 閉鎖されている場所(覗き見や第三者にアクセスされない場所)であればテレワークを実施してOK
  • テレワークは自宅のみ実施OK
  • テレワークは自宅に加えて、コワーキングスペースなどの利用もOK

自社の業務効率を下げない範囲でどの程度のレベル感を設定するのが望ましいか検討したうえでルール設定を行いましょう。

機器

ここで指す機器とは、PCやスマートフォンなどいわゆる業務で利用する機器類のことです。
機器に関するルールも大きく分けて二つの観点から考えることができます。

1. 会社貸与機器のみ利用可

この場合は、機器そのものを会社側で管理することができるため、テレワークに合わせて新規にルールを考える必要はあまりなく、通常の機器取扱いルールに従って業務を行えば問題ありません
どちらかというと、覗き見やフリーWi-Fiへのアクセスリスクなど別観点でのルールを明確化しておくことをおすすめします。

2. 私物機器の業務利用を許可

私物機器の業務利用(いわゆるBYOD)を許可する場合、会社として機器の管理を行うことが難しく、また、設定を変えてもらうことなどを無理強いすることも難しいです。
そのあたりのリスクを洗い出したうえで、BYODルールを設定することが求められます。
以下にBYODを認める場合のルール設定の例を挙げてみます。

  • 業務で利用する私物機器は申請制にする
  • 会社指定のアプリのみ利用可能にする
  • 詳細なBYODルールを設定する
    • 会社貸与機器と同様のルールを守る
    • ウイルス対策ソフトの導入を必須にする
    • 家族などとの共有機器は利用しない

このルールをどこまで設定する必要があるのかは組織によって大きく変わってきます。例えば、会社支給機器がメインでBYODは例外措置だとすれば、あまり細かくルールを設定する必要はないでしょう。
一方で、BYODがメインの場合、それによるリスクを把握してルールを設定しながらも、業務上負担にならない線引きも考える必要があります

まとめ

今回はテレワークルールを考える際のポイントについてご紹介してきました。
このルールを守らないといけないという決まったものはなく、あくまでも組織にとってどのようなリスクがあり、対応するためにどのルールが必要なのかということを取捨選択していくことが大切です。

いまは臨時でテレワーク体制になっている組織も多くあるかもしれませんが、今後、テレワークはより一般化していく可能性が高いです。また、現在のような形で緊急的にテレワークを導入しないといけない状況が再びやってこないとは限りません。
このような点からも、テレワークに関する何らかのルールは整備しておくことをおすすめします。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする