4版の変更点とは?最新「テレワークセキュリティガイドライン第5版」を読み解く
総務省が公表している「テレワークセキュリティガイドライン」について解説しています。この記事では、特に最新版となるガイドライン第5版に焦点を当て、そのポイントや、前版(第4版)からの変更・修正点などに関して具体的に説明していきます。
「テレワークセキュリティガイドライン」とは?
「テレワークセキュリティガイドライン」とは、テレワークの実施に伴うセキュリティ確保の取り組みとして、企業向けに総務省が策定しているガイドラインのことです。
同ガイドラインには、企業がテレワークを安心して導入したり活用したりできるよう、“セキュリティの観点から注意すべきことや検討すべきこと”を記載。主に、在宅勤務やサテライトオフィス、モバイル勤務など幅広いテレワークの形態を想定し、セキュリティに関するさまざまな指針が記述されています。
ガイドラインは2004年に初版が公開され、その後複数回の改訂が加えられました。また、テレワークを取り巻くコンピューター環境や、セキュリティ動向が大きく変化したことなどから、2021年5月に最新版となる「テレワークセキュリティガイドライン 第5版」が公表されました。
この資料では、主に中小企業がテレワークを導入したり利用したりするに当たり、システム担当者が考慮すべきセキュリティリスクを紹介。特に、実現可能性が高く優先的に実施すべきセキュリティ対策について解説しています。
ガイドライン第4版から第5版への改定ポイント
ここからはガイドライン第5版を題材に、企業幹部や情報システム部門担当者がセキュリティの観点で注意・検討すべきポイント、また第4版の主な変更・修正点などについて解説。テーマやカテゴリー(図1)の順番に、それぞれ説明していきます。
- テレワークにおいて検討すべき役割・対策
- テレワーク方式の再整理
- テレワーク方式を選定するフローチャートの追加
- テレワーク方式の特性比較表の追加
- 実施すべき対策の分類・内容の見直し
- テレワークセキュリティに関連する最新のトラブル事例
テレワークにおいて検討すべき役割・対策
第5版では、テレワークにおけるセキュリティ対策を進めるために、重要となる役割・対策について説明しています。事前に理解して対策を行うことで、安心してテレワークを導入・活用することができます。
「ルール」「人」「技術」のバランスがとれた対策
テレワーク環境では、従業員同士で情報をやりとりする場合にインターネットを利用する必要があったり、従業員以外の第三者が立ち入る可能性のある場所で作業をおこなったりといった、セキュリティ的な観点から環境が異なることがあります。情報資産を守るためには、「ルール」「人」「技術」のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることが重要です。
「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の立場に応じた重要な役割
テレワークの実施にあたっては、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」がそれぞれの立場からセキュリティの確保に関して必要な役割を認識し、適切に担っていくことが重要です。
経営者の役割は、事業の効率的かつ健全な発展と、当該事業に影響を及ぼすセキュリティリスクへの対応という両側面から、組織としてのあるべき姿を検討し、セキュリティ管理者に作業を指示することです。システム・セキュリティ管理者の基本的な役割は、経営者が示した方針や指示をルール化して、従業員に遵守させる役割を担うとともに、実施も担います。テレワーク勤務者の役割は、ルールを認識・理解し、遵守することがセキュリティの確保につながります。
クラウドサービスの活用
クラウドサービスは、ネットワークに接続されたコンピューター資源を、ネットワークを介して必要なときに必要な分だけ利用できるようなサービスを指します。従来のように企業などがサーバーなどの構築・運用するオンプレミス環境とは異なり、サーバーなどを自ら保有する必要がありません。
テレワークの実施にあたっては、メールサービス、チャットサービス、オンライン会議サービス、ファイル共有サービスなどのSaaSを活用する場合が増えています。
ゼロトラストセキュリティの有効性
ゼロトラストセキュリティとは、外部ネットワーク(インターネット)と、内部ネットワーク(LAN)との境界による防御(境界型セキュリティ)には限界があり、内部ネットワーク内にも脅威が存在しうるという考えのもと、新たなセキュリティに対する考え方として注目されています。
テレワーク方式の再整理
第5版では、基本的なテレワークの方式が以下の7種類(同ガイドラインから引用)に再整理されました。この他、テレワークを導入するための方法にはさまざまなものがありますが、企業は下記のいずれかの方式で、テレワークを実現することが求められます。
VPN方式
テレワーク端末からオフィスネットワークに対してVPN接続を行い、そのVPNを介してオフィスのサーバーなどに接続し業務を行う方法。
テレワーク端末からオフィスネットワークに対してVPN接続を行い、そのVPNを介してオフィスのサーバーなどに接続し業務を行う方法。
テレワーク端末からオフィスに設置された端末(パソコンなど)のデスクトップ環境に接続を行い、そのデスクトップ環境を遠隔操作し業務を行う方法。
テレワーク端末から仮想デスクトップ基盤上のデスクトップ環境に接続を行い、そのデスクトップ環境を遠隔操作し業務を行う方法。
テレワーク端末にローカル環境とは独立したセキュアコンテナという仮想的な環境を設け、その環境内でアプリケーションを動かし業務を行う方法。
テレワーク端末からセキュアブラウザーと呼ばれる特殊なインターネットブラウザーを利用し、オフィスのシステムなどにアクセスし業務を行う方法。
オフィスネットワークに接続せず、テレワーク端末からインターネット上のクラウドサービスに直接接続し業務を行う方法。
オフィスネットワークには接続せず、あらかじめテレワーク端末や外部記録媒体に必要なデータを保存しておき、その保存データを使い業務を行う方法。
テレワーク方式を選定するフローチャートの追加
整理された7種類のテレワーク方式の中から自社に適合した方式選定するため、フローチャート(下図)が新たに追加。これからテレワークを導入する企業は、実施するテレワーク業務の内容などを基にして、各テレワーク方式のうち“どれが自社に適しているか”を簡単に検討・選定できるようになりました。
出典:テレワークセキュリティガイドライン(第5版)「テレワーク方式の選定 フローチャート」
テレワーク方式の特性比較表の追加
前項と同様、企業が自社に適合したテレワーク方式を選定するため、特性比較表(下図)が追加されました。
この比較特性表は、「オフィス業務の再現性」「通信集中時の影響度」「システム導入コスト」「システム導入作業負荷」「セキュリティ統制の容易性」この5つの観点から、テレワーク方式(7種類)を5段階で評価・整理しています。
出典:テレワークセキュリティガイドライン(第5版)「テレワーク方式の選定 特性比較」
実施すべき対策の分類・内容の見直し
ガイドライン第5版では、テレワーク方式にかかわらず、企業や従業員が実施すべき共通のセキュリティ対策に言及。対策内容が13個のカテゴリーに分類され、見直しが図られました。
また、「経営者が実施すべき対策」「システム・セキュリティ管理者が実施すべき対策」「テレワーク勤務者が実施すべき対策」の立場ごとに、具体的なセキュリティ対策内容を整理。これにより、対象者が考えるべき必要な対策が、分かりやすくなっています。
例えば、経営者が実施すべき対策として、『テレワーク実施に当たって生じる環境変化を踏まえ、セキュリティポリシー(基本方針)の策定や見直し(システム・セキュリティ管理者にその指示をする。)を行い、見直し後は、テレワーク勤務者にその内容を周知し、方針の共有を行う。』(ガイドラインP66より)が追加。
また、システム・セキュリティ管理者が実施すべき対策として、『ルールに明文化されていない利用方法や、ルールの改善についてテレワーク勤務者から問い合わせがあった場合、対応方針を検討する。』(同)といった具体的な対策内容が盛り込まれています。
テレワークセキュリティに関連する最新のトラブル事例
テレワークやセキュリティを巡るトラブル事例など(下図)が全面的に更新。トラブルの事例ごとに、「具体的な動向」「テレワークセキュリティへの示唆」「有効な対策」この3つの観点で解説が加えられています。
このうち「有効な対策」については、ガイドライン内で整理されたセキュリティ対策の項目(セキュリティ対策内容)がそれぞれ充てられており、トラブル内容に対して“各対象者(経営者・システム管理者・テレワーク勤務者)がどのような対策を施すべきであるのか”を、把握しやすくなっています。
- VPN機器の脆弱性の放置
- 個人情報保護の強化
- アクセス制限の設定不備
- マルウェア感染
- ランサムウェア
- フィッシングメール
- ビジネスメール詐欺(BEC)
- USBメモリーの紛失
- 無線LAN利用通信の窃取
- 第三者による画面閲覧
- テレワーク端末の踏み台化
- パスワードの使い回し
- クラウドサービスの設定ミス
- クラウドサービスの障害
- サプライチェーン
テレワークセキュリティに関連する最新のトラブル事例
最新のテレワークセキュリティガイドラインについて、理解は深まりましたでしょうか。今回の改訂では、テレワークの方式や、テレワーク導入までのフロー、また対象者別のセキュリティ対策などが一層整理され、これからテレワークを導入する企業にとって有意義な内容が盛り込まれているとみられます。
改訂の背景には、やはり新型コロナウイルス対策で急速に広まるテレワークの普及があるでしょう。これまでテレワークは一部の従業員に適用される例外的な勤務形態の一つに留まっていましたが、コロナ禍により昨今は一般的な勤務形態の一つになりつつあります。
シーイーシーでは、テレワークセキュリティに関するさまざまなソリューションを提供。「ガイドラインに沿った対策を進めたい」「セキュリティ対策として何が必要であるのか分からない」、このような悩みを持つお客様を真摯にサポートしていきます。ぜひこれを機会に、ご相談いただければ幸いです。