近年は働き方改革の流れもあり、在宅やカフェ、コワーキングスペースなどで作業を行うテレワーキングという働き方も一般的になってきました。そこでISO27001認証を取得しようとする企業、あるいはこれから認証取得を目指す企業にとって課題となるのが、ISMS におけるテレワーキングの扱い方です。

今回は、ISO27001によるISMSでは、テレワーキングはどのように管理するべきなのかということについて解説していきたいと思います。

目次

そもそもテレワーキングとは

テレワーキングとは、会社などの就業場所以外で行う業務形態のことで在宅勤務以外にもノートPCを持ってカフェなどで資料をまとめることもテレワーキングに含まれます。
近年では、エンジニアなどIT系の専門職や事務職などを中心に広がりを見せている勤務方法で、とりわけIT産業においては人員不足や働き方の柔軟化によってテレワーキングを認めている企業も増えています。

しかし、テレワーキングは会社以外の場所を就業場所にする観点から情報セキュリティ上のリスクを含んでいます。情報資産を管理している社員が会社以外の場所からアクセスできるということは、リスクであることは言うまでもありません。

ISOはテレワーキングに対してもISO27001の規格に則った管理策を明示しています。以下の記述はISO27001の具体的な管理策を示したISO27002におけるテレワーキングの定義です。

テレワーキングとは,オフィス以外で行うあらゆる作業形態をいう。これには, コンピュータ端末を用いた在宅勤務(telecommuting), 柔軟な作業場(flexible workplace),
遠隔作業及び仮想的な作業の環境のような,従来とは異なる作業環境を含む。
ISO27002

このことからも、ISO27001はしっかりこのあたりのことまで考えて規格を構築していることが伺えますね。以下ではどのような管理策を行えば良いのかということをチェックしていきましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27002におけるテレワーキングの管理方法

ISO27002では、テレワーキングを許可する組織は以下のようなことを考慮し、制限を定めた方針を発行することが望ましいとしています。

  • a)建物及び周辺環境の物理的セキュリティを考慮に入れた,テレワーキングの場所の既存の物理的セキュリティ
  • b)提案された物理的なテレワーキングの環境
  • c)次を考慮した,通信のセキュリティに関する要求事項− 組織の内部システムへの遠隔アクセスの必要性− 通信回線からアクセスし,通信回線を通過する情報の取扱いに慎重を要する度合い−
    内部システムの取扱いに慎重を要する度合い
  • d)個人所有の装置で情報を処理及び保管できないようにする仮想デスクトップへのアクセスの提供
  • e)住環境を共有する者(例えば,家族,友人)による,情報又は資源への認可されていないアクセスの脅威
  • f)家庭のネットワークの使用及び無線ネットワークサービスの設定に関する要求事項又は制限
  • g)個人所有の装置の上で開発した知的財産の権利に関する論争を防ぐための方針及び手順
  • h)個人所有の装置へのアクセス(装置のセキュリティ検証のためのもの,又は調査期間中に行うもの)。なお,このアクセスは,法令が禁じている場合がある。
  • i)従業員又は外部の利用者が個人的に所有するワークステーション上のクライアントソフトウェアの使用許諾について,組織が責任をもつことになる場合の,ソフトウェアの使用許諾契約
  • j)マルウェアに対する保護及びファイアウォールの要件

ISO27002

つまり、情報を保護するために規定を設けて企業が可能な範囲で管理が行えるように対策を取ることが望ましいとしているのです。

ISO27002の管理策さえ守れば完璧なのか?

ITやWebなどの知識がある程度ある方なら、上記対策を行ったとしても、テレワーキングによる情報セキュリティリスクは完全には拭いきれないことについてご理解いただけると思います。しかし、それは組織が管理可能な範囲内であっても同様のことが言えるはずです。

ISO27001はあくまで情報セキュリティマネジメントシステム 規格であり、完璧な情報セキュリティマネジメントシステムを構築したとしても情報インシデントが0になるなんてことは考えられないのです。ーー問題は情報セキュリティ上のリスクを限りなく低減し、そして万が一問題が起こったときに適切な対策を取ることができるような体制を構築していくことであり、インシデントを完全になくすことではありません。

もちろん、インシデントの発生件数が0になるに越したことはありませんが、あくまでマネジメントシステムは情報セキュリティを守るためのツールの一種であることを忘れてはいけないのです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ