【10分でまるっと理解!】テレワークセキュリティガイドライン~対策編~

働き方改革や新型コロナウイルスの影響で、政府はテレワークの導入を推奨しています。
2021年5月には、総務省から「テレワークセキュリティガイドライン第5版」が公開されました。

今回は、このガイドラインの「第4章 テレワークセキュリティ対策一覧」と「第5章 テレワークセキュリティ対策の解説」の内容を、わかりやすく解説します。テレワークの導入を検討している場合は、参考にしてください。

第2章、第3章については、以下で解説しています。
【10分でまるっと理解!】テレワークセキュリティガイドライン~検討内容編~
【10分でまるっと理解!】テレワークセキュリティガイドライン~テレワーク方式編~

本記事のサマリ

  • 総務省「テレワークセキュリティガイドライン 第5版」の第4章と第5章についてわかりやすく解説
  • テレワークに必要なセキュリティ対策は13の分類に分けられる
  • 「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」それぞれの立場で対策が必要

テレワークセキュリティガイドラインとは

テレワークセキュリティガイドラインは、テレワークにおけるセキュリティ確保についての取り組みとして、総務省が策定・公表しているガイドラインです。
企業がテレワークを安心して導入・活用できるように、セキュリティの観点で注意すべきことや検討すべきことが記されています。

初版が公開されたのは2004年ですが、その後改訂を重ね、2021年5月31日に第5版が公開されました。以降では、この第5版の内容を解説しています。

セキュリティ対策の分類と実施内容

第3章で7つのテレワーク方式が紹介されていますが、どの方式を採用したとしても共通で実施すべきセキュリティ対策があります。
オフィス勤務の場合でもセキュリティ対策は必須ですが、テレワーク実施時にはより厳重な対策が必要です。

本ガイドラインでは、セキュリティ対策を以下の13の分類に分けています。

  • 1. ガバナンス・リスク管理
  • 2. 資産・構成管理
  • 3. 脆弱性管理
  • 4. 特権管理
  • 5. データ保護
  • 6. マルウェア対策
  • 7. 通信の保護・暗号化
  • 8. アカウント・認証管理
  • 9. アクセス制御・認可
  • 10. インシデント対応・ログ管理
  • 11. 物理的セキュリティ
  • 12. 脅威インテリジェンス
  • 13. 教育

ここでは、13の対策それぞれについて、実施内容のポイントを解説します。

1.ガバナンス・リスク管理

テレワーク実施時のリスクを把握して必要なルールを整備するのが、ガバナンス・リスク管理です。例えば、情報セキュリティ関連規程の整備、クラウドサービス利用時のルール策定などがこれに当たります。

経営者やシステム・セキュリティ管理者がルールを策定し、テレワーク管理者はその内容を理解して遵守しなければなりません。

2.資産・構成管理

資産・構成管理とは、テレワークで利用する端末やソフトウェアの管理を行うことです。資産台帳の整備や、導入するソフトウェアの管理などが必要とされます。

システム・セキュリティ管理者や上司などの目が届きにくくなるテレワークでは、許可していない端末やツールを使用するシャドーITが発生する可能性があります。
それを防ぐためにも、資産・構成管理は重要です。

3.脆弱性管理

脆弱性管理では、ソフトウェアアップデートなどによって既知の脆弱性の排除を行います
OSやアプリなどが最新版になっていないと、脆弱性を抱えたまま業務利用することになるため、セキュリティリスクが高まります。

アップデートやパッチ適用などを定期的に実施する、サポートが終了した製品は使用しないなど、サイバー攻撃の標的とならないように対策が必要です。

4.特権管理

本ガイドラインでは、システムの管理者権限を適切に管理することを特権管理と呼んでいます。
一般権限よりも多くの操作が可能な管理者権限は、不適切に利用されると大きなセキュリティインシデントにつながるため、特権管理は必須です。

管理者権限のパスワードを一般権限より強固なものにするなどの対策のほか、Active Directoryを使用した権限管理も有効です。

5.データ保護

データ保護とは、保護すべき情報の特定と、機密性・可用性の確保を行うことです。どのような情報を機密情報として扱うのかを定義し、その機密情報が流出しないよう対策を行います。

代表的な対策として、テレワーク端末のハードディスクやUSBメモリといった記憶媒体の暗号化と適切な廃棄が挙げられます。
そのほか、データの可用性を確保するためのバックアップや、端末紛失時にデータを守るためのMDM導入などの対策も必要です。

6.マルウェア対策

マルウェア対策は、その名のとおりマルウェアの感染防止やエンドポイントセキュリティなどの対策を実施することです。
マルウェアを検知するセキュリティ対策ソフトの導入はもちろん、EDRを導入するという方法もあります。

1台でも対策ができていない端末があると、マルウェア感染が広がるリスクが高まります。そのため、端末を一元管理して定義ファイルの更新漏れを防ぐのも有効な手段です。

7.通信の保護・暗号化

インターネット経由でデータの送受信を行うことを想定して、通信の保護や暗号化の対策も必要です。暗号化された通信の利用や、無線LANのセキュリティ対策の実施などが求められます。

悪意のある偽サイトにアクセスしないよう、「不審なメールのURLを開かない」「送られてきたオンライン会議のURLが正しいことを確認してからアクセスする」などの対応も必要です。

また、通信の可用性を確保することも大切です。混雑によってVPN通信ができなくなるケースを避けるため、最大同時接続数を考慮した設計や、有事の際の回避策の検討なども行わなければなりません。

8.アカウント・認証管理

アカウントや認証手法に関する対策としては、多要素認証・電子証明書の利用や、認証を一定回数失敗した場合のアクセス制限など、技術面での対応が挙げられます。
テレワーク勤務者は、第三者にパスワードが漏れないように適切に管理したり、推測されにくいパスワードを設定したりすることが求められます。

悪意のあるサイトやサービスもあるため、相互認証の考え方も必要です。
パスワードなどを用いた認証はサイトやサービス側が利用者を確認するためのものですが、偽サイトにアクセスしないためには、利用者側も正しい接続先かどうか確認しなければなりません。

9.アクセス制御・認可

アクセス制御・認可という観点では、ファイアウォールやIPアドレス制限などでデータやサービスへのアクセスを最小限にし、アクセス権の付与も必要最小限にするという対策が求められます。
これらは外部からの攻撃を防ぐだけでなく、内部不正対策にも有効です。

テレワークではオンライン会議の利用が増えることが予想されますが、その際には参加者の本人確認やパスワードの設定、二要素認証などの対策も行いましょう。

10.インシデント対応・ログ管理

セキュリティインシデント発生時には、迅速な対応が求められます。そのためには、インシデント対応計画が必要です。
緊急連絡先や伝達ルートの整備、少しでも異変を感じたらすぐにシステム管理者に報告するようテレワーク勤務者に周知する、といった対策を行いましょう。
インシデント収束後の再発防止策の検討も有効です。

そのほか、ログの取得と保存、確認も必要です。アクセスログや操作ログはセキュリティインシデントの原因分析に役立つだけでなく、マルウェア感染や内部不正などによる不審な挙動の検知にも利用できます。

11.物理的セキュリティ

テレワーク実施時には、物理的なセキュリティ対策も必須です。
具体的な対策として、パソコン画面の自動ロック設定や覗き見防止フィルターの貼り付け、周囲の人の挙動に注意するなどが挙げられます。

オンライン会議で画面共有を行う際にも、注意が必要です。
意図しない画面が共有されても問題ないように、あらかじめ会議に使わないファイルは閉じておきましょう。
オンライン会議はスクリーンショットや録画が可能なため、短い時間でも機密情報などを画面に表示してしまうと大きなリスクとなります。

12.脅威インテリジェンス

脅威の動向や攻撃手法など、セキュリティリスクに関する情報が脅威インテリジェンスです。
日々新しいマルウェアや攻撃手法が生まれているため、最新の情報を収集することは非常に大切です。

セキュリティ情報の発信を定常的に行なっているIPAなどの組織から情報を入手するほか、業界団体や地域のコミュニティなどに所属して情報交換を行う方法もあります。

13.教育

セキュリティ対策には、テレワーク勤務者への教育も必要です。
テレワーク勤務者のセキュリティ意識が低かったりリスクを理解していなかったりすると、どんなに技術面で対策を実施していてもセキュリティインシデントが発生する可能性が高くなります。

セキュリティ研修やインシデントに関する注意喚起などを行い、ひとりひとりがセキュリティを意識した行動を取れるようにしましょう。
年に1回など、定期的に対策実施状況の確認を行うのも効果的です。

立場ごとに実施すべきセキュリティ対策

経営者が行うべきとされる4つの分類と、対策の一例を以下に記載します。

テレワーク導入・実施時には、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」という重要な3つの立場があります。それぞれの立場の役割を認識し、対策を実施しなければなりません。

ここでは、それぞれの立場において求められる役割について解説します。

経営者

経営者が行うべきとされる4つの分類と、対策の一例を以下に記載します。

分類 実施すべき対策例
ガバナンス・リスク管理 企業としての方針の策定や見直し
データ保護 情報の取り扱いに関する方針の策定
インシデント対応・ログ管理 セキュリティインシデント発生時の対応計画の策定
教育 組織全体へのセキュリティ研修の実施

システム・セキュリティ管理者やテレワーク勤務者が対応に迷うことがないように、方針やルールなどを明確にし、それを周知するのが経営者の役割です。

システム・セキュリティ管理者

システム・セキュリティ管理者は経営者の方針に沿って具体的な対応を行うため、
多くのセキュリティ対策を担当しなければなりません。以下は、システム・セキュリティ管理者が実施すべき12分類と対策の一例です。

分類 実施すべき対策例
ガバナンス・リスク管理 経営者が策定した方針に沿って具体的なルールの策定
資産・構成管理 テレワーク端末や使用するアプリの管理
脆弱性管理 ソフトウェアアップデートやパッチ適用
特権管理 管理者権限や端末のログインアカウントなどの適切な管理
データ保護 機密性のある情報の特定と保存場所の把握
セキュリティ対策 マルウェア対策ソフトの導入
通信の保護・暗号化 テレワーク時は暗号化された通信を利用するよう周知
アカウント・認証管理 不要なアカウントの削除など、権限の更新
アクセス制御・認可 接続IPアドレスの制限や不要ポートの閉鎖
インシデント対応・ログ管理 セキュリティインシデント発生時の対応
脅威インテリジェンス セキュリティに関する最新の情報の収集
教育 従業員へのセキュリティ教育の実施

上記は一例で、そのほかにも多くの対応が必要です。ガイドラインp.57~62に一覧が記載されているため、そちらも参考にしてください。

テレワーク勤務者

テレワーク勤務者とは、テレワークを実施するすべての社員が対象です。
経営者もしくはシステム・セキュリティ管理者もテレワーク勤務者になり得るため、全社員が以下の対策を行わなければならないと考えても良いでしょう。

テレワーク勤務者が実施すべき11の分類と対策例は、以下のとおりです。

分類 実施すべき対策例
ガバナンス・リスク管理 セキュリティに関する規定やルールの遵守
資産・構成管理 端末の紛失や盗難の防止に努める
脆弱性管理 ソフトウェアアップデートなどを適切に行う
データ保護 USBメモリなどをルールで許可されているケース以外で使用しない
セキュリティ対策 マルウェア対策ソフトのインストール
通信の保護・暗号化 テレワーク時は暗号化された通信を使用する
アカウント・認証管理 IDやパスワードを他人に教えない
アクセス制御・認可 業務に必要のないBluetoothなどの無効化
インシデント対応・ログ管理 インシデント発生時の緊急連絡先と対応手順の把握
物理的セキュリティ テレワーク端末の自動ロック設定の実施
教育 セキュリティ研修への参加

どんなに厳格なルールを策定して技術的な対策を講じたとしても、テレワーク勤務者の対策が不十分ではリスクを減らせません。
上記のような対策を、一人ひとりがしっかり実施する必要があります。

ガイドラインのP.55に分類の一覧表、P.66〜90では分類ごとに「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」が何を行うべきかまとめた表が掲載されているため、そちらも参考にしてください。

まとめ

「テレワークセキュリティガイドライン 第5版」の第4章と第5章について解説しました。端末を持ち出したりインターネットに直接接続したりするテレワークでは、オフィス勤務以上のセキュリティ対策が求められます。
重大なセキュリティインシデントが発生しないよう、適切に対策しましょう。

「第2章 テレワークにおいて検討すべきこと」「第3章 テレワーク方式の解説」についても同様に解説しているため、まだ確認していない方はこちらも参考にしてください。

■ 第2章はこちら
【10分でまるっと理解!】テレワークセキュリティガイドライン~検討内容編~

■ 第3章はこちら
【10分でまるっと理解!】テレワークセキュリティガイドライン~テレワーク方式編~