こんにちは、さとうです。

総務省から2021年2月15日に
「テレワークセキュリティガイドライン(第5版)」(案)
に対する意見募集が公開されています。

当ガイド(案)は、企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用するための指針として公開されているものですが、昨今のテレワークの導入拡大、セキュリティ動向変化に合わせて全面改訂を行ったものです。

※2021年4月頃を目途に改定予定とされています。(2021年4月現在)

126



当ガイド(案)の前に第4版が公開されているのですが、ガイドライン改定の主要なポイントは以下の通りです。


・テレワーク方式を再整理した上で、テレワークによって実現する業務の内容や、セキュリティ統制の容易性等から、適した方式を選定するフローチャートを掲載。
・経営者・システム管理者・勤務者の立場それぞれにおける役割を明確化。
・執るべきセキュリティ対策の分類や内容を全面的に見直し
→対策事項は倍増し、13個の対策カテゴリに分類
・テレワークセキュリティに関連するトラブルについて、具体的事例を含め全面見直し(事例紹介のほか、セキュリティ上留意すべき点や、採るべき対策についても明示)


当ガイド(案)の目次は以下の通りです。

第1章 はじめに
第2章 テレワークにおいて検討すべきこと
第3章 テレワーク方式の解説
第4章 テレワークセキュリティ対策一覧
第5章 テレワークセキュリティ対策の解説
第6章 テレワークにおけるトラブル事例と対策


<テレワークセキュリティ対策一覧>
当ガイド(案)では、対策分類を以下の13に分けています。
第4版と同様に、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」それぞれの立場で実施すべき対策が明示されています。

A ガバナンス・リスク管理
  テレワークの実施に当たってのリスクマネジメントや、情報セキュリティ関連規程(ルール)の整備等に関する対策。
B 資産・構成管理
  テレワークで利用するハードウェアやソフトウェア等の資産の特定や、その管理に関する対策。
C 脆弱性管理
  ソフトウェアのアップデート実施等による既知の脆弱性の排除に関する対策。
D 特権管理
  不正アクセス等に備えたシステム管理者権限の保護に関する対策。
E データ保護
  保護すべき情報(データ)の特定や保存されているデータの機密性・可用性の確保に関する対策。
F マルウェア対策
  マルウェアの感染防止や検出、エンドポイントセキュリティに関する対策。
G 通信の保護・暗号化
  通信中におけるデータの機密性や可用性の確保に関する対策。
H アカウント・認証管理
  情報システムにアクセスするためのアカウント管理や認証手法に関する対策。
I アクセス制御・認可
  データやサービスへのアクセスを、必要最小限かつ正当な権限を有する者のみに制限することに関する対策。
J インシデント対応・ログ管理
  セキュリティインシデントへの迅速な対応と、ログの取得や調査に関する対策。
K 物理的セキュリティ
  物理的な手段による情報漏えい等からの保護に関する対策。
L 脅威インテリジェンス
  脅威動向、攻撃手法、脆弱性等に関する情報の収集に関する対策。
M 教育
  テレワーク勤務者のセキュリティへの理解と意識の向上に関する対策。

※なお、各セキュリティ対策において「テレワーク端末」は、PCだけでなくスマートフォン等を含みます


<テレワークにおけるトラブル事例と対策>
当ガイド(案)では、テレワークにおけるトラブル事例と対策について、以下のものが掲載されています。
(有効な対策は各々複数書かれていますが、一例を転載しました)

1.VPN機器の脆弱性の放置
有効な対策
・オフィスネットワークにアクセスする際に必要となるVPN機器やリモートデスクトップアプリケーション等について、最新のアップデートやパッチ適用を定期的に行う。
    など
2.個人情報保護の強化
有効な対策
・経営者が定める情報取扱いに関する重要度の方針に従い、具体的な情報管理レベルを定めるとともに、テレワークでの利用可否と利用可の場合の取扱方法(利用者・保管場所・利用可能なシステム環境の要件等)を整理してテレワーク勤務者に周知する。
    など
3.アクセス権限の設定不備
有効な対策
・データに対するアクセス制御に際して、保存するフォルダのアクセス権限設定やファイアウォール設定等により、機密情報を閲覧・編集する必要のないテレワーク端末やテレワーク勤務者からのアクセスを制御する。
    など
4.マルウェア感染
有効な対策
・セキュリティ対策ソフト(ウイルス対策ソフト)やメールサービスに付属しているフィルタリング機能やフィッシング対策機能等を用いて、テレワーク勤務者がマルウェアの含まれたファイルを開いたり、危険なサイトにアクセスしたりしないように設定する。
    など
5.ランサムウェア
有効な対策
・テレワーク端末のOSやソフトウェアについて、アップデートやパッチ適用を定期的に行い最新の状態に保つようテレワーク勤務者に周知する。
    など
6.フィッシングメール
有効な対策
・少しでも不審を感じたメール(添付ファイルやURLリンク等を含む。)は開かず、必要に応じて送信者に送信状況の確認を行うほか、システム・セキュリティ管理者へ速やかに報告する。報告の是非について判断に迷う場合は報告することを心がける。
    など
7.ビジネスメール詐欺(BEC)
有効な対策
・テレワーク勤務者のセキュリティへの理解と意識の向上を図るために、定期的に研修等を実施する。
    など
8.USBメモリの紛失
有効な対策
・テレワーク勤務者によるリムーバブルメディア(USBメモリ、CD、DVD等)の使用は、業務上の必要性が認められたものに限定し、社内ルールで規定する。
    など
9.無線LAN利用通信の窃取
有効な対策
・無線LANルーター等の機器を利用する場合は、無線LANのセキュリティ方式として「WPA2」又は「WPA3」を利用し、暗号化のためのパスワード(パスフレーズ)は第三者に推測されにくいものを利用する。
    など
10.第三者による画面閲覧
有効な対策
・操作画面の自動ロック設定やプライバシーフィルターの貼付等を行うほか、周囲にいる組織外の人の挙動に注意を払う。自宅等で家族がいる場合についても、不注意により意図せず情報漏えい等が起きる可能性があるため注意する。
    など
11.テレワーク端末の踏み台化
有効な対策
・オフィスネットワークやクラウドサービスへの接続は、システム・セキュリティ管理者が指定した方法とし、許可なく設定等を変更しない。
    など
12.パスワードの使い回し
有効な対策
・複数のサービス間で同じパスワード使い回さない。また、使用するパスワードが第三者に知られた可能性がある場合は、早急にパスワードを変更する。
    など
13.クラウドサービスの設定ミス
有効な対策
・オフィスネットワークやクラウドサービス等への接続について、接続IPアドレスの制限や、不要ポートの閉鎖を行い、インターネットへの露出を最小限とする。
    など
14.クラウドサービスの障害
有効な対策
・重要情報のバックアップについては、オフィスネットワーク上の共有フォルダ等のほかに、オフィスネットワークから切り離した環境(ネットワークに接続しない記録媒体やクラウドサービス等)にも保管する等、複数の環境でバックアップを保管する。
    など
15.サプライチェーン
有効な対策
・セキュリティに関する研修を受講し、セキュリティに対する認識を高めるとともに、自らが実施しているセキュリティ対策を確認する。
    など

テレワーク実施の有無に関わらず必要な対策が多いですが、ゼロトラストの考え方が求められる昨今において、これからの企業セキュリティにおいてベーシックとなりうる対策が網羅されています。




さとう