内閣サイバーセキュリティセンター(NISC)

本文へ

文字サイズ

English

コラムアーカイブ

コロナ禍でのテレワーク拡大でリスクも拡大?

公開日:2022/08/30 想定読者層:企業 テーマ: テレワーク/リモートワーク

IPAのテレワークセキュリティ実態調査に関する記事が公開されています。

https://news.mynavi.jp/techplus/article/20220704-2385532/

ポイント:
・IPAが2021年度のテレワークのセキュリティ実態調査を発表
・リモートワーク採用率も情報持ち出しルールの特例許可の割合も拡大
・この数年の環境変化でリスクが生まれていないかルールや契約を見直そう

◆テレワークのセキュリティ実態調査

独立行政法人情報処理推進機構IPAは、コロナ禍での事業継続のために導入が拡大しているテレワークに関するセキュリティの実態調査「2021年度 企業・組織におけるテレワークのセキュリティ実態調査」を2022年6月に公開しました。

ワクチン接種が進み、徐々に経済活動もコロナ以前の状態に戻り、テレワーク(リモートワーク)にも慣れ、アフターコロナの仕事の進め方についても検討が始まっている状況下で調査することで、前回2020年度から2021年度の変化より、2020年度に見られたガバナンスの低下が回復しているかを確認し、今後の課題を明らかにすることが目的とされています。

この調査は、ITの委託元(ユーザー企業)と委託先(ITベンダーや情報処理サービス企業などIT関連企業)に回答を依頼していて、結果を委託元と委託先に分類することで、それぞれの実態の違いを示していることが特徴です。

◆テレワーク導入率の拡大とルールの曖昧さ

テレワーク導入率拡大は、委託元企業(ユーザー企業)に見られ、2020年度約1/2(50.5%)から2021年度約2/3(64.9%)と増加しています。一方で、委託先企業(IT関連企業)のテレワーク導入率は97%で、2020年度と2021年度で大きく変わらない結果でした。

多くの委託元企業で、テレワークの社内ルールに「曖昧さがある(49.0%)」、「社員の理解が不十分(41.9%)」と回答されていて、ルールの見直しや啓発の余地が見られます。

◆機密情報の持ち出しの特例の拡大と長期化

テレワーク実施経験有りの企業で、機密情報の社外持ち出しの特例や例外を認める企業の割合が増加しています。書類やUSBの特例持ち出しが、委託元企業(ユーザー企業)で2020年度20.2%から2021年度29.0%へ拡大しました。2020年度から割合が増加していて、一度認めた特例や例外をそのままにしている企業も多く存在していると考えられます。

私見ですが、機密情報の持ち出しの特例や例外が必要になるということは、一部の企業では、テレワークにおいてVPNや仮想クライアント技術などのIT技術を用いたリモートアクセス環境が整備されておらず、リスクのある状態でテレワークが実施されているのではないかと想像できます。

◆テレワークによるリスクの見直しが必要

上記の調査結果の内容から、自社は大丈夫かとドキッとした方がいらっしゃるのではないでしょうか?

IPAが調査で確認したかった「2020年度に見られたガバナンスの低下からの回復」は、テレワークのルールの曖昧さや、社員の理解の不十分さが見られたり、特例や例外が拡大したりしている現状を示す調査結果から判断すると、まだ回復していないと考えてよいですね。

コロナ禍以降のここ数年で我々の仕事環境やIT環境は大きく変化しています。自衛のために、まずは以下の2点の見直しが必要と考えます。

①自社の機密情報持ち出しルール
自社の機密情報の持ち出しルールがテレワークに対応できているか、テレワークにより特例や例外を認めていないか確認し、現在の情報漏洩リスクについて考え、必要に応じてルールやIT環境などを是正しなければいけません。また、コロナ禍の業務遂行を優先して禁止しているルールを破っている部署や人がいないか調査(ヒアリング、コンプライアンス窓口への通報案内など)が必要かもしれません。

②委託先のテレワークの状況
自社の当たり前は、他社の当たり前ではありません。他社に機密情報の取り扱いを委託している場合は、委託先のテレワークの状況や契約の順守状況に変化が無いか確認するのが賢明です。委託先のテレワーク採用は業務遂行のために仕方がないとすでに許容した場合もあると思いますが、リスクの再確認や、委託契約のひな型の見直し、現状の契約に問題があれば覚書等の締結など、必要なアクションを実施してください。
テレワーク時のインシデント対応に問題はないかなど、上記の他にも考えておくべきことがあるかもしれません。気になる方は、IPAの調査結果とそこに記載されている推奨事項をご確認ください。また、総務省がテレワークセキュリティガイドラインを公開しています。検討すべき内容やトラブル事例とその対策など幅広い観点で書かれていますのでとても参考になります。

参考:

IPA「企業・組織におけるテレワークのセキュリティ実態調査の結果を公開」
https://www.ipa.go.jp/security/fy2021/reports/scrm/index-telework.html

総務省「テレワークにおけるセキュリティ確保(テレワークセキュリティガイドライン)」
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/

NISC「インターネットの安全・安心ハンドブック」
P.21~24 テレワーク・オンライン授業における注意点
https://security-portal.nisc.go.jp/handbook/

▲ このページの先頭へ