コラム

ナレッジ

テレワークセキュリティガイドラインを読んでみよう

テレワークの安全な実施のために、総務省はテレワークセキュリティガイドラインを制定しています。ここではその大まかな内容をご紹介します。

出典:総務省ホームページ テレワークにおけるセキュリティ確保

出典:「テレワークセキュリティガイドライン(第5版)(令和3年5月)」(総務省)

テレワークセキュリティガイドラインとは

テレワークは、働き方改革で推奨され、コロナ禍で急激に浸透した働き方です。移動時間を有効に活用でき、育児や介護にも融通が利くため、ワークライフバランスの向上にも貢献できます。また災害や感染症の流行時、従業員がそれぞれ安全な場所で普段通りの仕事ができるため、事業継続性(BCP)の確保が可能になります。

テレワークには大きく分けると以下のような働き方があります。

  • 在宅勤務
    自宅で業務を行う働き方
  • サテライトオフィス勤務
    シェアオフィスやコアワーキングスペースで業務を行う働き方
  • モバイル勤務
    ノートPCを活用して臨機応変に選択した場所で業務を行う働き方

テレワークセキュリティガイドラインは、このような背景や働き方を踏まえたうえで、テレワーク導入・活用のために必要となる基本的なセキュリティ対策が示されています。

テレワーク実施における対策の考え方

テレワークセキュリティガイドラインによると、テレワークの実施には「ルール」「人」「技術」のバランスがとれた対策が必要となります。

  • ルール
    安全を確保できる仕事の仕方をルール化しておく必要があります

  • 制定されたルールを守り、定着させ、それぞれが理解し実行する必要があります方
  • 技術
    「ルール」「人」でカバーできない部分を補完する、技術的な対策を行う必要があります

これらの中で最も弱いところが、セキュリティレベルとなってしまいます。そこを補強しないことには、バランスがとれたセキュリティ対策にはなりません。

組織の立場に応じた、セキュリティにおける役割

テレワークセキュリティガイドラインでは、テレワークの実施には会社内のそれぞれの立場からも重要な役割があるとしています。

  • 経営者
    組織のあるべき姿を検討し、方針を示し、大局的な立場から判断し指示を行う(脅威と事業影響リスクの認識、セキュリティポリシーの策定、管理体制の構築、予算や人員の確保など)
  • システム・セキュリティ管理者
    経営者が示した方針や指示を具体化していく(セキュリティ関連規定や対策の見直し、ハードウェア・ソフトウェアの適切な管理、セキュリティ研修の実施、セキュリティインシデントの対応など)
  • テレワーク勤務者
    システム・セキュリティ管理者が作成したルールを認識・理解し遵守する(情報セキュリティ関連規程の遵守、テレワーク端末の適切な管理、パスワードやICカードの適切な管理など)

テレワークにおけるクラウドサービスの活用

テレワークセキュリティガイドラインでは、クラウドサービスの活用にも言及しています。クラウドサービスは、インターネットを介して必要な時に必要な分だけコンピュータ資源(計算能力・記録装置・情報システム等)を利用できるサービスです。

従来の企業のシステムは、自組織内でサーバ等を運用し、内部向けサービス提供をを想定して構築されているため、テレワーク対応には大規模な改修が必要です。

テレワーク実施が増えるにつれ、サーバを自組織内に保有する必要がないクラウドサービスを活用する企業が増えています。クラウドサービスには利用者に提供できる範囲によってSaaS・PaaS・IaaSと種類がありますが、メール・チャット・オンライン会議・ファイル共有などをすぐ利用できるSaaS(Software s a Service)が最も多く活用されています。

クラウドサービス(SaaS)は、セキュリティ管理対策の軽減や、システム導入の迅速性、拡張・縮退の容量柔軟性、運用コストの低減などのメリットがあります。導入の際には、

  • サービス・サービス事業者の信頼性
  • サービスの責任境界
  • 情報の重要度定義とクライド保管情報の管理
  • 適切なアクセス制御の実施
  • 厳格な認証情報の管理と認証手法の強化

などを確認・考慮しましょう。

ゼロトラストセキュリティ

近年のサイバー攻撃の高度化等に伴い注目されている新たなセキュリティの考え方が「ゼロトラストセキュリティ」です。テレワークセキュリティガイドラインではこのゼロトラストセキュリティについても言及しています。

ゼロトラストセキュリティはデータや機器等の単位でセキュリティを強化する考え方です。内部ネットワークであっても安全ではないとし、最小単位でのセキュリティを考え、境界型セキュリティ(外部からの攻撃や内部からの情報流出を防止する考え方)と組み合わせた、複合的な防御を目的とします。

テレワーク方式

テレワークセキュリティガイドラインでは、基本的なテレワーク方式(テレワーク端末から、どのようにして業務を行うか)を7種類に整理し解説しています。

  • VPN方式
  • リモートデスクトップ方式
  • 仮想デスクトップ(VDI)方式
  • セキュアコンテナ方式
  • セキュアブラウザ方式
  • クラウドサービス方式
  • スタンドアロン方式

またテレワーク方式は複数の方式を併用して利用する場合も想定されます。テレワーク端末から直接インタ ーネットへアクセスする「ローカルブレイクアウト」併用の方法や、テレワーク端末としてのPC・スマートフォン併用の方法などがあります。

テレワークセキュリティガイドラインには、実施したい業務等を基にどのテレワーク方式が適しているのか分かるフローチャートを掲載しています。テレワーク導入の際の参考にしましょう。

テレワークセキュリティ対策

テレワークセキュリティガイドラインでは、先に述べた「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の各立場ごとに実施すべきセキュリティ対策を13の対策分類に分けています。

  1. ガバナンス・リスク管理
  2. 資産・構成管理
  3. 脆弱性管理
  4. 特権管理
  5. データ保護
  6. マルウェア対策
  7. 通信の保護・暗号化
  8. アカウント・認証管理
  9. アクセス制御・認可
  10. インシデント対応・ログ管理
  11. 物理的セキュリティ
  12. 脅威インテリジェンス
  13. 教育

テレワークセキュリティガイドライン(第4章 テレワークセキュリティ対策一覧)では、さらに優先度の参考として基本対策と発展対策の区分してまとめています。

テレワークにおけるトラブル事例

テレワークセキュリティガイドラインには、実際のトラブル事例と対策が記されています(第6章 テレワークにおけるトラブル事例と対策)。

  1. VPN機器の脆弱性の放置→対策:C. 脆弱性管理
  2. 個人情報保護の強化→対策:E. データ保護
  3. アクセス権限の設定不備→対策:I. アクセス制御・認可
  4. マルウェア感染→対策:F. マルウェア対策、J. インシデント対応・ログ管理
  5. ランサムウェア→対策:C. 脆弱性管理、E. データ保護、F. マルウェア対策、J. インシデント対応・ログ管理
  6. フィッシングメール→対策:F. マルウェア対策、M. 教育
  7. ビジネスメール詐欺(BEC)→対策:F. マルウェア対策、M. 教育
  8. USBメモリの紛失→対策:E. データ保護、H. アカウント・認証管理
  9. 無線LAN利用通信の窃取→対策:G. 通信の保護・暗号化
  10. 第三者による画面閲覧→対策:K. 物理的セキュリティ、E. データ保護、I. アクセス制御・認可
  11. テレワーク端末の踏み台化→対策:I. アクセス制御・認可
  12. パスワードの使い回し→対策:H. アカウント・認証管理
  13. クラウドサービスの設定ミス→対策:A.ガバナンス・リスク管理、I. アクセス制御・認可
  14. クラウドサービスの障害→対策:A.ガバナンス・リスク管理、E. データ保護
  15. サプライチェーン→対策:M. 教育

まとめ

テレワークセキュリティガイドラインには、セキュリティの基本的な考え方から実際の事例までまとめられています。テレワークセキュリティガイドラインを活用すれば自社に合ったテレワークを導入・運用できるでしょう。