総務省の「テレワークセキュリティガイドライン 第5版」ポイントを一挙紹介！

2021年5月、総務省から「テレワークセキュリティガイドライン 第5版」が公開されました。公開の背景には、テレワークが普及したことで情報通信の環境が大きく変化し、新種のサイバー攻撃などに対応するべく、多くの企業がセキュリティ対策を見直さなければならなくなった状況があります。最新のテレワークセキュリティガイドラインでは、どのようなことを企業に呼びかけているのでしょうか。その概要を紹介します。

テレワークセキュリティガイドラインとは？

テレワークセキュリティガイドラインとは、テレワークにおけるセキュリティ対策をどのように行うべきかを示した、総務省策定のガイドラインです。在宅勤務やサテライトオフィス勤務、モバイル勤務などをはじめとした幅広い形態でのリモートワークを想定して策定されており、企業が安心してテレワークに取り組めるように、実際に起こり得るセキュリティ上の脅威とその対策がまとめて記載されています。

テレワークセキュリティガイドラインは、テレワークを取り巻く環境や新たに出現しているサイバー攻撃などのセキュリティ動向の変化に応じて改版が行われ、現在は第5版が公表されています。

第4版から何が変わったのか？

第4版から第5版への更新に伴い、主に以下のような改訂が行われています。

・テレワーク方式の再整理
・テレワーク方式を選定するフローチャート、及び特性比較表の追加
・実施すべき対策の分類、内容の見直し
・セキュリティに関連するトラブルの具体事例を踏まえ、対策を最新化

第5版における改訂の背景には、コロナ禍と働き方改革の推進による急速なテレワークの普及があります。テレワークが一般的な勤務形態として考えられるようになったことで、これまでテレワークを実施していなかった企業にも早急な導入・活用が求められていることでしょう。

テレワーク関連の新製品やサービスが増加すると利便性が向上しますが、一方で従来の対策では想定されていない部分にセキュリティホールが発見されることもあるほか、巧妙化するサイバー攻撃にも対応する必要性が生じます。このような背景から、第5版の改訂では前回の第4版から大幅な追加と刷新が行われているのです。

テレワークセキュリティガイドラインの内容をチェック

「テレワークセキュリティガイドライン 第5版」は、大きくまとめると4つの項目から成り立っています。順番に見ていきましょう。

テレワーク時に検討すべきこと
テレワークにおけるセキュリティ対策を進める際に重要となる4つの対策や役割について解説しています。

1.人・技術・ルールのバランスの取れた対策
テレワークはオフィス外での勤務となるため、第三者が立ち入る環境下での業務が想定されます。情報資産を守るために、人・技術・ルールのバランスが取れた対策を実施しなければなりません。

2.経営者・情シス・勤務者の立場に応じた役割分担
テレワークを導入する際には、それぞれの立場からセキュリティの確保に関する役割を認識し、適切に対策していく必要があります。

3.クラウドサービスの活用
テレワークの導入にはクラウドサービスの導入が欠かせません。クラウドサービスにも種類があるため、自社に適合するサービスを選択することが大切です。

4.ゼロトラストセキュリティの観点
「ゼロトラストセキュリティ」とは、「外部も内部も区別なく疑ってかかる」という性悪説に基づいた考え方です。ネットワークの内側にも脅威が存在する可能性を考慮し、ネットワークに頼らない、強力なセキュリティを構築する必要があります。

テレワーク方式の解説
「テレワークセキュリティガイドライン 第5版」では、テレワークの方式が7種類に分別されています。

1.VPN方式
2.リモートデスクトップ方式
3.仮想デスクトップ(VDI)方式
4.セキュアコンテナ方式
5.セキュアブラウザ方式
6.クラウドサービス方式
7.スタンドアロン方式

さらに、ガイドラインにはこれらの方式を検討する際に活用可能なフローチャートと特性比較表も追加されました。特性比較表とは、上記の7つの方式を、以下の５つの軸で整理し、D~Sの5段階で評価した表です。

・オフィス業務の再現性
・通信集中時の影響度
・システム導入コスト
・システム導入作業負荷
・セキュリティ統制の容易性

この表とフローチャートを活用することで、自社の業務に合った方式を簡単に選択できるようになります。

テレワークのセキュリティ対策
また、テレワーク方式にかかわらず共通的に実施すべき対策を「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」という3つの立場ごとに整理してあります。

対策は以下の13種類に分類されており、経営者は方針やルールなどを明確化・周知し、システム・セキュリティ管理者はそれを具体化する、全社員にあたるテレワーク勤務者は十分に対策を実施するなど、それぞれの立場においてどのように取り組むべきかが提示されています。

1.ガバナンス・リスク管理
2.資産・構成管理
3.脆弱性管理
4.特権管理
5.データ保護
6.マルウェア対策
7.通信の保護・暗号化
8.アカウント・認証管理
9.アクセス制御・認可
10.インシデント対応・ログ管理
11.物理的セキュリティ
12.脅威インテリジェンス
13.教育

テレワークにおけるトラブル事例と対策
さらに、テレワークセキュリティ対策の必要性の理解を深めるため、15のトラブル事例も紹介されています。

1.VPN機器の脆弱性の放置
2.個人情報保護の強化
3.アクセス権限の設定不備
4.マルウェア感染
5.ランサムウェア
6.フィッシングメール
7.ビジネスメール詐欺(BEC)
8.USBメモリの紛失
9.無線LAN利用通信の窃取
10.第三者による画面閲覧
11.テレワーク端末の踏み台化
12.パスワードの使い回し
13.クラウドサービスの設定ミス
14.クラウドサービスの障害
15.サプライチェーン

各トラブル事例の中では「具体的な動向」「テレワークセキュリティへの示唆」「有効
な対策」についても解説されており、より具体的に、有効性のある情報が確認できるようになりました。

今後、テレワークは従来のオフィス勤務と同様にメジャーな働き方となっていくと言われています。最新のテレワークセキュリティガイドラインを活用し、安全なテレワークを実現しましょう。

テレワーク導入時にやってはいけない８つのこと

デジタルトランスフォーメーションの定義とは？～DXを考える

まとめ

・テレワークセキュリティガイドラインには、実際に起こり得るセキュリティ上の脅威とその対策がまとめられている
・テレワークが普及するに従い、セキュリティのあり方も更新されており、企業は対応を迫られている
・テレワークセキュリティガイドラインを活用することで、企業にもっとも合致したテレワークの方式を見定めることができる