テレワーク・在宅勤務を導入していてもISMSは取得できる?
テレワークが急増する中、ISMSの取得を予定している企業が急増しています。しかし、テレワーク導入企業のISMS取得は、実際のところどうなのか気になっている方も多いのではないでしょうか。ISMSがどのような役割をになっているのかまとめました。
テレワーク・在宅勤務を導入していてもISMS取得可能
ISMSは、情報資産の取り扱いについて、「機密性・完全性・可用性」を一定の水準で確保するための仕組みです。この部分はテレワーク環境であっても意義は変わりません。
ISMSにはテレワークについても記載があるため、きちんと対策をすることができれば認証取得も可能です。実際に、テレワークを導入しながらISMS認証を取得している大手企業も存在します。
しかし、取得する際には通常のISMS取得とは異なるいくつかの注意点もあり、テレワーク特有の事象や課題には考慮する必要があります。自宅ならでは多くの脆弱性も潜んでいるため、固有の事象への対策は重要です。
ISMSにおける具体的なセキュリティ対策
テレワークに移行する際には、書類やデータを自宅に持ち帰る、自宅のPCから会社のネットワークに接続するなどの変化が生じます。そのため、セキュリティ体制の整ったオフィスとは違い、新たなリスクの発生に備えた対策が求められます。テレワーク・在宅勤務における、具体的なセキュリティ対策をまとめました。
モバイル機器の対策
モバイル機器については、企業や組織内においてモバイル機器の取り扱いについて規則を定めておく必要があります。そのうえで、ソフトウェアのインストール制限のほか、OSやソフトウェアの最新版へのアップデート、許可していない情報サービスは利用しない、パスワードを英数字混在12文字以上で設定するなどの対策が考えられます。取扱いに慎重を要する情報や影響の大きい業務情報を扱うモバイル機器などを放置しないことも重要です。
また、遠隔でデータ削除やロックができるリモートワイプ機能の設定や定期的にバックアップをとるなどの対策も考えられます。会社支給のモバイル端末には、セキュリティ対策を実施し、私物のモバイル機器の場合は、通話目的や会社が許可した端末以外は禁止としておくのが望ましいでしょう。
ネットワーク対策
企業や組織のサーバーなどと接続する場合には、WPA以上の暗号化通信を使用したWi-Fiを利用し、フリーWi-Fiでの接続は不可とするなどの規則が必要です。セキュリティ対策を組み入れたPC端末を会社で提供することも有効な対策です。
また、Wi-Fi環境がWPAに設定できない場合は、会社からWPAに設定したWi-Fiを支給するなどの手段を用意しておくことも、重要なポイントになります。
物理的なセキュリティ対策
情報セキュリティ対策を徹底できても、機密情報扱いの書類を置き忘れてしまったり、盗まれてしまえば対策の意味がありません。
機密情報扱いの書類は施錠保管することや情報が書かれた書類の廃棄はシュレッダーにかけるなどの対策も必要です。また、自宅などでは家族にPC画面を見られてしまう可能性もあるため、テレワーク環境でISMSを取得するには、物理的なセキュリティ対策も必要です。
のぞき見防止フィルターを配布するなど、会社側である程度テレワーク環境を整えられるものもありますが、物理的なセキュリティ対策には限界もあります。そのため、不特定多数の人が利用するカフェなどの場所での業務は禁止するなどのルールを整えることはもちろん、テレワーカーの良識に委ねる部分が大きくなります。
教育と業務管理上の対策
企業や組織の関係者全員に周知徹底されていなければ、セキュリティ対策の効果は期待できません。ミーティング実施や日報などの方法を駆使し、関係者が適切な運用ができるように努めり必要があります。また、NDA(秘密保持契約)の締結などもひとつの手だといえるでしょう。
また、テレワーカーのPCの操作状況やログ、モバイル機器なども遠隔でチェックできるツールを導入するのも有効な対策のひとつです。
しかし、ISMSに沿った対策を講じていても、情報漏れのような事故やインシデントの可能性がゼロになることはありません。万が一、情報セキュリティに関するリスクが発生した場合でも、適切な対策が取れる体制を構築が重要になります。
ISMS認証取得にあたっての注意点
データや情報などを適切に管理する方法や対策が示されているISMS。ISMS認証の取得を検討するにあたって、確認しておきたい注意点を解説していきます。
テレワーク用マニュアルの作成を検討する
テレワークや在宅勤務を導入している環境下でのISMS認証の取得には、社内マニュアルとは別にテレワーク用のマニュアルを用意します。テレワークに関する規定や必要な情報を整理することで、何に気をつけたら良いのかがわかりやすくなります。また、情報を特定しやすいというメリットもあります。
テレワーカーとのコミュニケーション・連絡手段を明確にしておく
テレワーカーとは、コミュニケーションを欠かさないようにすることが重要です。社内で顔を合わせる機会もありませんので、Web会議ツールなども有効に使って、定期的なコミュニケーションをとるようにします。また、連絡は主としてメールなどを用い、緊急時の連絡手段も明確にしておくなど、スムーズに情報を伝達できるようにすることが大切です。審査はどのように実施される?
審査は審査員による実地審査です。審査員が企業や組織を訪問し、運用しているISMSが認証基準に適合しているかどうか、ヒアリングや各種チェックが行われます。テレワークや在宅勤務を行っているテレワーカーにWeb会議ツールなどを使用したインタビューが行われることもあります。
テレワーカーの自宅においても、恒常的に書類の保管など含む業務を行っているのであれば、その自宅も適用範囲に含める必要があるので、注意が必要です。この場合、テレワーカーの自宅のセキュリティ環境を確認するため、審査員の訪問による確認が行われます。
上記審査を経て、ISMSが基準に適合していることが確認されると合格になります。
まとめ
ISMS認証の取得は、テレワーク環境においても情報セキュリティのリスクを大幅に低減させることが可能であり、そのための重要な取り組みです。セキュリティの整った会社内とは異なるテレワーク環境下では、脆弱性を作り込まないセキュリティ設計も重要になります。そのため、ただでさえ取得を得るのが難しいISMS認証はテレワークの導入により、より難しいものとなる可能性があります。
テレワークを導入しながらのISMS取得が自社の知識やノウハウでは難しいと判断した際には、専門知識を有したコンサルタントの利用も、ひとつの手段として検討するとより良い運用に繋がるでしょう。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。