テレワーク・在宅勤務を導入していてもISMSは取得できる?
テレワークが急増する中、ISMSの取得を予定している企業が急増しています。しかし、テレワーク導入企業のISMS取得は、実際のところどうなのか気になっている方も多いのではないでしょうか。ISMSがどのような役割をになっているのかまとめました。
テレワーク・在宅勤務を導入していてもISMS取得可能
ISMSは、情報資産の取り扱いについて、「機密性・完全性・可用性」を一定の水準で確保するための仕組みです。この部分はテレワーク環境であっても意義は変わりません。
ISMSにはテレワークについても記載があるため、きちんと対策をすることができれば認証取得も可能です。実際に、テレワークを導入しながらISMS認証を取得している大手企業も存在します。
しかし、取得する際には通常のISMS取得とは異なるいくつかの注意点もあり、テレワーク特有の事象や課題には考慮する必要があります。自宅ならでは多くの脆弱性も潜んでいるため、固有の事象への対策は重要です。
ISMSにおける具体的なセキュリティ対策
テレワークに移行する際には、書類やデータを自宅に持ち帰る、自宅のPCから会社のネットワークに接続するなどの変化が生じます。そのため、セキュリティ体制の整ったオフィスとは違い、新たなリスクの発生に備えた対策が求められます。テレワーク・在宅勤務における、具体的なセキュリティ対策をまとめました。
モバイル機器の対策
モバイル機器については、企業や組織内においてモバイル機器の取り扱いについて規則を定めておく必要があります。そのうえで、ソフトウェアのインストール制限のほか、OSやソフトウェアの最新版へのアップデート、許可していない情報サービスは利用しない、パスワードを英数字混在12文字以上で設定するなどの対策が考えられます。取扱いに慎重を要する情報や影響の大きい業務情報を扱うモバイル機器などを放置しないことも重要です。
また、遠隔でデータ削除やロックができるリモートワイプ機能の設定や定期的にバックアップをとるなどの対策も考えられます。会社支給のモバイル端末には、セキュリティ対策を実施し、私物のモバイル機器の場合は、通話目的や会社が許可した端末以外は禁止としておくのが望ましいでしょう。
ネットワーク対策
企業や組織のサーバーなどと接続する場合には、WPA以上の暗号化通信を使用したWi-Fiを利用し、フリーWi-Fiでの接続は不可とするなどの規則が必要です。セキュリティ対策を組み入れたPC端末を会社で提供することも有効な対策です。
また、Wi-Fi環境がWPAに設定できない場合は、会社からWPAに設定したWi-Fiを支給するなどの手段を用意しておくことも、重要なポイントになります。
物理的なセキュリティ対策
情報セキュリティ対策を徹底できても、機密情報扱いの書類を置き忘れてしまったり、盗まれてしまえば対策の意味がありません。
機密情報扱いの書類は施錠保管することや情報が書かれた書類の廃棄はシュレッダーにかけるなどの対策も必要です。また、自宅などでは家族にPC画面を見られてしまう可能性もあるため、テレワーク環境でISMSを取得するには、物理的なセキュリティ対策も必要です。
のぞき見防止フィルターを配布するなど、会社側である程度テレワーク環境を整えられるものもありますが、物理的なセキュリティ対策には限界もあります。そのため、不特定多数の人が利用するカフェなどの場所での業務は禁止するなどのルールを整えることはもちろん、テレワーカーの良識に委ねる部分が大きくなります。
教育と業務管理上の対策
企業や組織の関係者全員に周知徹底されていなければ、セキュリティ対策の効果は期待できません。ミーティング実施や日報などの方法を駆使し、関係者が適切な運用ができるように努めり必要があります。また、NDA(秘密保持契約)の締結などもひとつの手だといえるでしょう。
また、テレワーカーのPCの操作状況やログ、モバイル機器なども遠隔でチェックできるツールを導入するのも有効な対策のひとつです。
しかし、ISMSに沿った対策を講じていても、情報漏れのような事故やインシデントの可能性がゼロになることはありません。万が一、情報セキュリティに関するリスクが発生した場合でも、適切な対策が取れる体制を構築が重要になります。
ISMS認証取得にあたっての注意点
データや情報などを適切に管理する方法や対策が示されているISMS。ISMS認証の取得を検討するにあたって、確認しておきたい注意点を解説していきます。
テレワーク用マニュアルの作成を検討する
テレワークや在宅勤務を導入している環境下でのISMS認証の取得には、社内マニュアルとは別にテレワーク用のマニュアルを用意します。テレワークに関する規定や必要な情報を整理することで、何に気をつけたら良いのかがわかりやすくなります。また、情報を特定しやすいというメリットもあります。
テレワーカーとのコミュニケーション・連絡手段を明確にしておく
テレワーカーとは、コミュニケーションを欠かさないようにすることが重要です。社内で顔を合わせる機会もありませんので、Web会議ツールなども有効に使って、定期的なコミュニケーションをとるようにします。また、連絡は主としてメールなどを用い、緊急時の連絡手段も明確にしておくなど、スムーズに情報を伝達できるようにすることが大切です。審査はどのように実施される?
審査は審査員による実地審査です。審査員が企業や組織を訪問し、運用しているISMSが認証基準に適合しているかどうか、ヒアリングや各種チェックが行われます。テレワークや在宅勤務を行っているテレワーカーにWeb会議ツールなどを使用したインタビューが行われることもあります。
テレワーカーの自宅においても、恒常的に書類の保管など含む業務を行っているのであれば、その自宅も適用範囲に含める必要があるので、注意が必要です。この場合、テレワーカーの自宅のセキュリティ環境を確認するため、審査員の訪問による確認が行われます。
上記審査を経て、ISMSが基準に適合していることが確認されると合格になります。
まとめ
ISMS認証の取得は、テレワーク環境においても情報セキュリティのリスクを大幅に低減させることが可能であり、そのための重要な取り組みです。セキュリティの整った会社内とは異なるテレワーク環境下では、脆弱性を作り込まないセキュリティ設計も重要になります。そのため、ただでさえ取得を得るのが難しいISMS認証はテレワークの導入により、より難しいものとなる可能性があります。
テレワークを導入しながらのISMS取得が自社の知識やノウハウでは難しいと判断した際には、専門知識を有したコンサルタントの利用も、ひとつの手段として検討するとより良い運用に繋がるでしょう。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。