リモートワークや在宅勤務を導入している企業でもISMSを取得することは可能です。リモートワーク導入企業がISMSを取得する際の一番注意すべき点は、適切なセキュリティ対策です。リモートワークに特化した対策の導入、アクセス制御の強化、データの保護方法の確立、従業員教育、定期的な監査と評価などが必要です。
INDEX
リモートワーク、テレワーク、在宅勤務を導入している企業でもISMS(ISO/IEC27001:情報セキュリティマネジメントシステム)を取得することが可能です。
ISMSは企業が情報セキュリティを適切に管理するための枠組みであり、リモートワークが行われている場合でも適用可能です。
むしろ、リモートワークを導入している企業が、従業員や外部とのやり取りする情報のセキュリティを確保するために、ISMSを導入することもあります。
もちろん、リモートワーク時のセキュリティリスクを洗い出し、その洗い出したリスクに対して管理策をたててセキュリティ対策を行う必要があります。
ルール整備やそれの周知に関しては、以下が必要です。
リモートワークに関する基本的なルールを策定します。作業時間、コミュニケーション手段、情報セキュリティ対策などです。
ルールは、従業員の役割や職務に基づいて具体的に設定することが重要です。機密情報へのアクセスに関するルールは、関連部門の従業員に対しては特に重要です。
ルールやセキュリティ方針を全従業員に周知させるために、トレーニングや教育プログラムを組んで実施する必要があります。オンラインセミナーやワークショップ、資料の配布などです。
ルールを徹底するために、従業員にはルールの理解を確認するテストや感想文・レポート提出を行うことも重要です。
リモートワークの技術面でのセキュリティ対策は、ポイントとして以下が挙げられます。
必要に応じて導入を検討するとよいでしょう。
社内システムやデータに安全にアクセスするために、従業員がVPN(Virtual Private Network)を利用するようにします。VPNは、インターネット上でのデータの送受信を暗号化する仕組みです。
従業員のデバイスをマルウェアから保護するために、最新のマルウェア対策ソフトウェアを導入し、定期的なアップデートを行います。
最近ではOS標準のウィルス対策機能でも十分役割を果たすことができますが、これも定期的なアップデートが必要なりますので、アップデートを漏らさず実施する必要があります。
重要なアカウントやシステムへのアクセスには、ユーザー名とパスワードだけでなく、二要素認証が有効です。これにより、不正アクセスからの保護が強化されます。
機密情報を安全に共有するために、セキュアなファイル共有サービスを利用する必要があります。暗号化を提供するサービスや、アクセス制御を細かく設定できるサービスなどがあります。
従業員のデバイスやソフトウェアのセキュリティを保つために、定期的なOSアップデートとパッチ適用も重要になります。2で書いたように脆弱性が修正され、攻撃からのリスクを低減するのに必要となります。
従業員が使用するデバイス(特にノートパソコンやスマートフォン)のデータを暗号化することで、データ漏洩のリスクを軽減します。紛失や盗難の場合でも、情報が安全に保護されます。
リモートワークの物理面でのセキュリティ対策も重要です。以下は、物理的なセキュリティを強化するための対策例です。
従業員がリモートで作業する場合、安全な作業環境を確保することが重要です。これには、身内であろうと業務中に情報が見れない環境が必要です。
ノートパソコンやスマートフォンなどのデバイスを保護するために、適切な物理的なセキュリティ対策として、未使用時に第三者が勝手に触れない場所に保管する施策が必要です。
デバイスの盗難や紛失に備えて、リモートワイプ機能や位置追跡機能を有効にしておくことが重要です。万が一デバイスが失われた場合でも、データの漏洩を最小限に抑えることができます。
ISMSを取得する際は、以下に注意しましょう。
従業員にリモートワーク時のルールを設定するには、マニュアルの作成が重要になります。
口頭だけのルール説明では、言った言わないといった問題が発生する可能性があります。マニュアルを作成し、従業員にルールを周知する必要があります。
マニュアル作成の際は以下の内容を含めてください。
これらの内容を含め、マニュアルを作成してみてください。
現状の管理策が、ISMSで求められている規格要求事項付属書Aの管理策を満たしている(合致しているか)かを確かめる必要があります。
その差分を埋めるための管理策の見直しが必要です。現状を洗い出し、足りない管理策について新しく作成する必要があります。
審査を受けるためには、審査機関に申し込みをする必要があります。審査機関を選ぶ際に見積もりを依頼し、評判等を調べて評価する必要があります。
審査機関に連絡を行うには、HPからの依頼やHPに記載の連絡先に連絡をしてください。
リモートワークを導入している企業の審査については、以下の通りです。
リモートワーク導入企業であっても審査は通常通り実施され、基本的に現地での審査を行います。もちろんフルリモート環境であっても実施します。
ただし、審査機関によってはWEB会議システムを利用した審査を実施してくれる所もあるので、そういった制度を利用するのもよいでしょう。
前述の通り、リモートワーク導入企業であっても審査は実施されます。
リモートワーク導入企業の中には、固定のオフィスを持たない企業もあります。オフィスを持たない企業だとISMSが取れないのではないかと思われますが、レンタルスペースやシェアオフィス、自宅を登記場所にした企業でも取得が可能です。
もちろん審査場所を確保する必要があるので、会議スペースを用意する必要があります。
ただ、自宅等でも審査員とコミュニケーションが取れる場所があれば会議スペースを用意しなくてもよいです。
リモートワークを実施する際には、以下のポイントに注意することが重要です。
従業員がリモートで作業する場合、企業の機密情報や顧客情報などのセキュリティを確保することが必要です。企業が定めたルールに従ってリモートワークを実施することが重要です。
リモートワークでは、直接対面でのコミュニケーションが制限されるため、適切なコミュニケーションツールを利用して従業員間や上司とのコミュニケーションを確保することが重要です。
従業員がリモートで作業するためには、適切な作業環境が整備されていることが重要です。快適な作業スペースや必要なデバイス、高速かつ安定したインターネット接続などのことです。
リモートワークでは、従業員が孤独感やストレスを感じる場合があります。上司や同僚とのコミュニケーションや、ストレス解消のための休憩時間の確保などが重要です。
リモートワークでは、自宅と職場の境界が曖昧になりがちです。従業員には適切な休息を取ることやワークライフバランスを維持することが重要です。
リモートワークを導入する企業が、ISMSを取得することは可能です。
リモートワーク実施に際して、ISMSで定められたセキュリティ管理策と現状の管理策を照らし合わせて、足りないものに関してはリスクがないように対策を実施する必要があります。
フルリモートの環境であっても、審査員と話ができる環境を用意することで審査が実施可能となり、制度によってはWEB会議システム利用の審査方法も検討するとよいでしょう。
ただし、リモートワーク環境ではコミュニケーションが取りにくくなる場合があるので、セキュリティに関する情報の共有にタイムラグが生じてしまうこともあります。それをISMSとは別で考えて、対策を打つ必要があります。
自分たちが働きやすい環境を作りつつ、セキュリティの確保を行うことにより、強かな企業を目指せるのではないでしょうか。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。