HOME情報セキュリティ企業・組織におけるテレワークのセキュリティ実態調査

本文を印刷する

情報セキュリティ

企業・組織におけるテレワークのセキュリティ実態調査

初版掲載日 2022年6月30日
独立行政法人情報処理推進機構
セキュリティセンター

  企業・組織におけるテレワークのセキュリティ実態調査の結果を公開 

テレワークは新型コロナウイルスの感染拡大防止のために、多くの企業・組織が導入し、新しい勤務形態として定着しつつあります。IPAでは、2020年11月に「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」(2020年度調査)を行い、急速なICT環境の変化がセキュリティ対策や、ITシステム開発やITサービス提供などの業務委託契約内容にどのような影響を与えているかを調査しました。
その結果、事業継続が優先され、セキュリティ対策が緩和されたり、ルール整備や確認作業が不十分なままにされており、ガバナンスの低下が懸念されました。

2021年度になっても次々出現する変異株に感染者数が増減し悩まされましたが、ワクチン接種が進み、徐々に経済活動もコロナ以前の状態に戻ってきました。2020年度調査から1年以上が経過し、テレワークにも慣れ、アフターコロナの仕事の進め方についても検討が始まった2022年2月に2020年度調査からの変化を確認するため「企業・組織におけるテレワークのセキュリティ実態調査」(2021年度調査)を実施しました。
2021年度調査では、順守状況の確認やルールの見直し等で改善が見られましたが、一方、特例や例外による一時的なセキュリティの緩和が戻っておらず、リスクの増大が懸念される結果となりました。また、情報技術関連企業が多い委託先(ITベンダ)に比べて、委託元(ITユーザ)ではテレワークにおけるセキュリティ対策の進行が遅く、差が大きくなっている様子がわかりました。(2021年度の調査報告書はこちらから)

調査結果のポイント

1.コロナ禍でのセキュリティ対策の特例や例外が増加・長期化している

「設問:貴社では、緊急事態宣言中またはコロナ禍により特例や例外を認めなければならないセキュリティ対策の社内規定・規定・手順等はありましたか。」に対する回答のうち、「機密情報の社外持ち出し(機密情報が含まれる書類・USBメモリ等の電子記録媒体)」「機密情報を保存することができる会社支給PCの持ち出し」についての結果は以下のとおりです。

その他、「機密情報の個人所有PCへの保存」「機密情報の社外での印刷」「機密情報のクラウドストレージサービスへの保存」「個人所有PCの業務利用(BYOD)」「会社が許可していないアプリケーション・ソフトウェア・クラウドサービスの業務利用」など、いくつかの例外や特例について確認しています。

図1:会社が許可してない情報や機器の持ち出し
図1:一時的な特例・例外を行った組織の割合と現在(2022年1月末時点)の状態

機密情報を含む電子記録媒体や会社支給PCの持ち出しについて、特例や例外で一時的に認めた組織の割合が2020年度調査の結果よりも増えています。コロナ禍の制限された環境下において事業を継続するため、特例や例外により条件の緩和や手続きを簡略にすることはやむを得ない状況であったかもしれません。しかし、特例や例外でセキュリティ対策は脆弱になるため、その状態が常態化してしまうことは、リスクを増大させることになります。利用禁止に戻す、あるいは別の対策の追加やルール化して利用を許可するなどの対策の実施が必要です。

2.委託元(ITユーザ)の3割以上がテレワークに関する社内規定・規則・手順の順守状態の確認を実施していない

「設問:貴社では、社員がテレワークに関する社内規程・規則・手順等を守っていることを何らかの方法で確認していますか(いましたか)。」に対する回答は以下のとおりです。

図2:テレワークに関する社内規定・規則・手順等が守られていることの確認状況
図2:テレワークに関する社内規定・規則・手順等が守られていることの確認状況

2020年度調査の結果よりも順守状況の確認をする組織は増加しており、改善されています。しかし、委託元(ITユーザ)の3割以上では「確認していない」と回答しています。
規定や手順が取り決められていても、順守状況を確認できていないことにより、内部不正の機会が増加や、気づかないうちに規定に違反していることが原因でセキュリティインシデントが発生するなどの恐れがあります。2021年度調査では、更に確認方法について質問をしました。その結果、確認していると回答した組織の6割以上がセルフチェック(自分で確認し報告)をしていました。

3.委託元(ITユーザ)ではテレワークを考慮した業務委託契約が進んでいない

「設問:貴社では2021年4月1日から現在(2022年1月31日)までの業務委託契約において、委託先との間の契約書・仕様書/利用規約・SLAの中で、情報セキュリティ上の要求事項を取り決めましたか。」に対する回答は以下のとおりです。
なお、委託元(ITユーザ)が回答者の場合は委託先(ITベンダ)との業務委託契約、委託先(ITベンダ)が回答者の場合は再委託先(ITベンダ)との業務委託契約を指します。
また、回答者は委託先や再委託先がテレワークを実施することを条件付き、あるいは、特に制限せずに認めていると回答した組織です。

図3:2021年4月1日から2022年1月31日の間に取り決めた業務委託契約のセキュリティ要求事項
図3:2021年4月1日から2022年1月31日までの間に取り決めた業務委託契約のセキュリティ要求事項

委託元(ITユーザ)は取り決めた割合が10.2~21.2%であるのに対し、委託先(ITベンダ)は41.7~57.8%と大きな差があります。2021年度調査では委託先(ITベンダ)のテレワークの導入率は97%と非常に高く、実施割合は全社員の50~80%未満、実施頻度は週3~4回が最も多い回答でした(調査報告書参照)。 このように委託先(ITベンダ)ではテレワークで業務を行う可能性が高く、再委託先(ITベンダ)に対してもテレワーク時のセキュリティ対策について意識されています。委託元(ITユーザ)も業務委託する際は、テレワークで実施されてもよい業務なのか、情報の安全は確保されるのかといったことを確認・検討し、取り決めをすることが大切です。 (2021年度の調査報告書はこちらから)

調査の実施概要

アンケート調査(テレワーク継続調査)

(1)調査方法リサーチ会社を利用した郵送アンケートとウェブアンケートの併用
(2)調査対象2020年度テレワーク調査の対象とした企業
(3)調査期間2022年2月18日~3月11日
(4)調査項目テレワークの実施状況、ルールの策定状況と遵守状況、テレワークに関連する業務委託上の取り決め状況など
(5)設問数委託先企業(ITベンダ):33問  委託元企業(ITユーザ):33問
(6)有効回答数508社
 委託先(ITベンダ):大規模(101人以上):124社
 委託先(ITベンダ):中小規模(100人以下):145社
 委託元(ITユーザ):大規模(301人以上):115社
 委託元(ITユーザ):中小規模(300人以上):124社

報告書のダウンロード

実施者

本件に関するお問い合わせ先

IPA セキュリティセンター セキュリティ対策推進部 小山/森
E-mail:

関連調査

更新履歴

2022年6月30日 「調査報告書」 公開