テレワークにおけるサイバーセキュリティ対策

2020年4月20日セキュリティ情報

特集:テレワークにおけるサイバーセキュリティ

ミャンマー事業において今まで全く検討すらしなかったテレワークを急遽開始することになり、不安や戸惑いを感じている方も多いのではないでしょうか。オフィスで顔を合わせられないメンバー間の情報共有はどうすべきか。機密情報はどうやって管理したらよいか。さらに、ローカルのスタッフの管理は対面でさえ苦労していたのに、在宅勤務環境下でどの様に管理したらよいかなど、頭が痛い問題に対処する必要性が生じています。

ここでは、テレワークを導入するにあたって、特にセキュリティに関して留意すべき点をご紹介します。

ミャンマー におけるテレワークの利用状況

総務省の2020年度版情報通信白書によると、日本でも企業のテレワーク導入率(2019)は19.1%。東京商工会議所が2020年3月に実施したアンケート調査では都内企業のテレワーク実施率は26%であり、新型コロナ感染対策の一環として在宅勤務を推奨しているミャンマーにおいて、早急にテレワークを導入することは困難であることが伺えます。

ミャンマー・タイムズ紙は、新型コロナウイルスの感染対策として、情報通信事業者や銀行が実際にテレワークの導入を始めている事例を紹介しています。通信大手のOoredooはテレワークを試験導入し、テレノール・ミャンマーはビデオ会議を導入、一部の銀行では窓口業務以外のバックオフィス業務にテレワークを導入しているとのこと。

一方、ミャンマー進出日系企業は、JCCMにおける新型コロナ対策状況確認アンケート調査によると、テレワーク実施中が4割、検討中が4割、未実施が2割程度の状況です。
ミャンマーの現地企業・進出企業のほとんどは、テレワーク導入を検討しているものの、具体的にどうしたら良いか分からないというのが現状ではないでしょうか。特に、テレワークを導入する上でのセキュリティ対策に関しては、その重要性を感じていたとしても、実際には後回しにしてしまいがちです。

 

テレワーク導入におけるセキュリティ対策の手順と留意点

総務省が2018年4月に公表した「テレワークセキュリティガイドライン(第4版)」では、ルールによるセキュリティ対策、技術的なセキュリティ対策及び物理的なセキュリティ対策の3つの視点から総合的に対策する手順を解説しています。

(参考:https://www.soumu.go.jp/main_content/000545372.pdf

ルールによるセキュリティ対策とは、情報を取り扱う際の社員の行動指針やルールの遵守、安全に情報を扱う方法を学ぶ研修や教育があげられます。
技術的なセキュリティ対策には、ウイルス対策ソフトやサービスの利用制限、情報の暗号化、情報へのアクセス権限の設定やログイン方法が含まれます。
物理的なセキュリティ対策には、防犯対策、入退出管理、書類や端末の施錠収納、生体認証などが含まれます。

セキュリティ機能の充実した製品を導入すれば安心とするのは、技術的なセキュリティ対策を一義的に講じたことに過ぎません。ルールによるセキュリティ対策を明文化した「セキュリティポリシー」や「セキュリティガイドライン」がなければ、情報にアクセスできない場合や実際に不具合が生じた際に技術的対策だけでは対応することができません。また、どんなに情報アクセス方法やログインを複雑化して対策を講じても、物理的な紙媒体の情報や端末、デバイスを盗まれてしまったら、簡単に情報は漏洩してしまいます。

この様にテレワーク導入におけるセキュリティ対策は、ルール、技術面及び物理面における対策を包括的に検討しておく必要があります。国内では総務省以外にもテレワーク に関して以下の様なガイドラインがあるので、是非参考にしてみて下さい。水祭り後も想定されるテレワークにおけるセキュリティ対策を検討する上で参考になると思います。また、当社のパートナー企業であるKernellix社では在宅勤務におけるセキュリティ対策プログラム(英語とミャンマー語)を無償で提供していますので、貴社のローカルスタッフへの教育目的としてご活用ください。

 

Kernellix: [Free] Cybersecurity Kit for Work from Home Program
https://www.kernellix.com/wfh-security

総務省: テレワークセキュリティガイドライン
https://www.soumu.go.jp/main_content/000545372.pdf

厚生労働省: 情報通信技術を利用した事業場外勤務の適切な導入及び実施のためのガイドライン
https://www.mhlw.go.jp/content/000553510.pdf

日本ネットワークセキュリティ協会: 在宅勤務における情報セキュリティ対策ガイドブック
https://www.jnsa.org/result/2011/zaitaku_guide.pdf

総務省: 情報システム担当者のためのテレワーク導入手順書
https://www.soumu.go.jp/main_sosiki/joho_tsusin/telework/furusato-telework/guidebook/pdf/teleworkintroduction.pdf

日系組織のローカル職員向けに標的型メール訓練サービスを提供しました

2020年4月16日サービス事例・実績

2020年2月〜3月: 日系組織のヤンゴンオフィスで勤務するローカル職員向けに、標的型メール訓練サービスを提供しました。

本プロジェクトは、「日本の本部・ベンダー主導の世界共通型の訓練を補完する、ミャンマーに特化した標的型メール訓練を実施したい」というお客様組織からの要望を受けて立ち上がりました。当社は現地パートナーのKernellix社と協力し、ミャンマーでの業務に即したシナリオの複数用意し、部門毎の関連度に合わせてシナリオを組み合わせることで、近年巧妙さを増す標的型メールを模した実践的な演習を提供しました。さらに、ローカルスタッフ向けにミャンマー語によるフォローアップ研修を開催し、インタラクティブな講義やグループディスカッションを通じてフィッシングメールに対する具体的な対処法や組織の一員として注意すべきセキュリティ上のポイントを解説しました。

「以前の研修はオンラインで英語を使用して提供されていたため理解が難しい部分がありましたが、今回はミャンマー語で提供され、サイバーセキュリティに関して意識すべきことや対策をわかりやすく理解することができました」という受講生からのコメントをはじめ、ローカルの事情に即した標的型メール訓練やミャンマー語での効果的なフォローアップ研修について、お客様より高い評価をいただきました。

情報セキュリティセミナーの様子

当社では、サイバーセキュリティ演習サービスの一環として標的型メール訓練を提供しております。貴社の組織・業務の状況に合わせて、英語・ミャンマー語で訓練メールとフォローアップ研修をカスタマイズ可能です。標的型メール対策やローカルスタッフのセキュリティ研修に関してご質問・ご相談がございましたら、お気軽にお問い合わせください。

サイバーセキュリティに関して普段から感じている不安、質問等あれば何でも気軽にご相談ください。