001
特集記事 2023.02.21
特集記事
2021.11.26
テレワークセキュリティガイドラインを改定した総務省の狙いは?内容を踏まえて解説
コロナウイルスの爆発的流行によって急速的に改革が進んだ企業の就業形態。その中でもテレワークは会社への移動を必要としないこともあり、これまでの就業形態と比べて目覚ましい変化であったといえます。
そんなテレワークですが、企業への採用が爆発的に増加したのも事実であり、テレワーク導入にあたってのトラブルを回避するために、各省庁からガイドラインが発行されています。
総務省からはテレワークにおけるセキュリティ対策としてのセキュリティガイドラインが、厚生労働省からは労働者にとっての快適なテレワーク環境の構築、適切な労務管理のためのガイドラインが発行されています。
この記事では、そんなガイドラインの中でも、総務省が発行している『テレワークセキュリティガイドライン』に関してご説明していきたいと思います。
企業のセキュリティ対策は従来の就業形態から徹底されてきたことでありましたが、テレワークに伴ってインターネットを介した企業情報を扱う機会も爆発的に増加し、ますますセキュリティに対する理解を深める必要が出てきました。
テレワークのセキュリティにおけるポイントをまとめていますので、ぜひ最後までご覧になってください。
『総務省:テレワークセキュリティガイドライン(第5版)』とは?
テレワークの普及に伴って、企業のセキュリティの在り方は新たな変化を求められています。そのような企業・企業に勤める社員に向けて、セキュリティ対策の考え方、実際にセキュリティを導入・改善・向上させる際のポイント、対策すべき項目、実例などを紹介しているのが、総務省から発行されている「テレワークセキュリティガイドライン」です。
このガイドラインの目的は、企業等がテレワークを導入する際に抱えるであろう、セキュリティ上の課題・不安を取り除き、安心・安全なテレワーク環境の導入を手助けすることにあります。
冒頭にて触れたように、各種の省庁からも業界向けにテレワークに関するガイドラインを発行していますが、この総務省のテレワークセキュリティガイドラインに関しては、特に、テレワークにおける”セキュリティ対策”に焦点を当てたものとなっており、業界や企業規模、セキュリティの導入環境など関係なく、多くの企業が参考にできるガイドラインとして作成されています。
テレワークセキュリティガイドライン第5版【4つのポイント】
テレワークセキュリティガイドラインの発行目的・概要などを掴んだところで、実際に中身に関しての話を進めていきたいと思います。
まずはじめに、全体の構成を確認し、その後にテレワークセキュリティガイドラインの中でも特に抑えて頂きたい4つのポイントに関して紹介していきます。
テレワークセキュリティガイドラインの構成
テレワークセキュリティガイドラインは全6章の109頁で構成されており、各章は以下のようになっています。
- 第1章:はじめに
- 第2章:テレワークにおいて検討すべきこと
- 第3章:テレワーク方式の解説
- 第4章:テレワークセキュリティ対策一覧
- 第5章:テレワークセキュリティ対策の解説
- 第6章:テレワークにおけるトラブル事例と対策
1章はテレワークセキュリティガイドライン発行の目的や、発行に至った社会的背景、外とラインの想定読者像などがまとめられていますが、前段落の「テレワークセキュリティガイドラインとは?」で触れたとおりとなっています。
2章からテレワークの導入から実践までの話がまとめられていきますが、2章では主にテレワークセキュリティを導入しようとしている組織・従業員の立場に応じたそれぞれのテレワーク環境における役割や、新たな就業形態としてのテレワークを支えているクラウドサービスの概要説明、新たなセキュリティ強化の考えとしてのゼロトラストセキュリティ(※)に関してまとめられています。
3章ではテレワーク方式を導入するにあたって、どのような方式(どのようなテレワーク環境)が選択できるかが詳しく説明されています。
4章ではテレワークのセキュリティにおける対策を一覧として説明されていますが、2章にて触れる、テレワークを導入しようとしている組織の各従業員の立場(企業経営者、システム・セキュリティ管理者、テレワーク勤務者の3者)に応じた対策としてまとめられています。
5章ではテレワークセキュリティ対策の解説と題して、セキュリティ対策ひとつひとつの具体的な解説が行われています。
6章では導入を図った際や、実際にテレワーク環境で稼働している際のトラブル事例やその対策がまとめられています。この章の内容は実際に働いている状況を想定できるものであるため、ガイドラインの総復習の意味も込めて理解を進めて頂ければと思います。
※:外部ネットワーク(インターネット)と内部ネットワーク(LAN)との境界の防御壁(セキュリティ)には限界があり、内部ネットワーク内にもセキュリティ的脅威が存在するという認識のもと、”外部と内部”という考え方から”データやデジタル機器等の単位”でのセキュリティ強化を図ろうとするもの。
4つのポイント
ガイドラインの大まかな構成をご紹介しましたが、ここからは、ガイドラインの流れに沿って、特に理解してもらいたいポイントを4つに絞ってまとめてみました。
本記事で理解いただきたいポイントは以下の通りです。
- テレワーク環境において検討すべき役割・対策
- それぞれの企業にあったテレワーク方式の策定・選択
- テレワークセキュリティ対策の確認
- テレワークにおけるトラブル事例と対策
それぞれに関して詳しく見ていきましょう。
テレワーク環境において検討すべき役割・対策
こちらの内容は第5版へと改編されるにあたり、新たに追加された内容となっています。テレワークにおけるセキュリティ対策を進めるにあたって大切な役割と対策に関しての説明が行われており、事前の対策によって、テレワーク実施後に発生する可能性のあるトラブルのリスク回避、強固なテレワーク環境の構築を実現できます。
役割と対策に関しては以下ことが挙げられています。
1:「ルール」「人」「技術」のバランスが整った対策
テレワーク環境では、企業に関わるすべての人の働く場がバラバラとなるため、情報交換のためにインターネットが必要不可欠となります。働く環境によっては第三者によって情報を勝手に覗かれてしまう可能性もあり十分な対策が必要となり、この際の情報を守る考えとして、「(情報を扱う際の)ルール」「(情報を扱う)人」「(情報を管理する)技術」のバランスを整えることが大切であると述べられています。
2:経営者・情報システム管理者・テレワーク勤務者の立場に応じた役割分担
ガイドラインの全体像にて触れたように上記の3者それぞれの立場に応じたセキュリティ上の役割がまとめられています。
経営者は、事業の効率的かつ健全な発展とセキュリティリスクへの対応、という企業の維持とセキュリティの保持の両側面から、情報システム管理者へと指示を出すことが重要な役割として担うことになります。
情報システム管理者は、経営者からの指示に基づいて、それらを具体化・ルール化し、従業員に遵守させるとともに、システム管理者自身もこれを実施する役割を担っています。
テレワーク勤務者は、情報システム管理者が作成したルールを認識・理解し、これを遵守することが最も重要な役割として求められています。
これら3者がそれぞれの役割を認識し、徹底することがセキュリティの確保へとつながっていくのです。
それぞれの企業にあったテレワーク方式の策定・選択
実際にテレワークを導入する際の企業全体としての心構えを身に付けた次に、どのようなテレワーク方式を選択すべきかの知識を身に付けることになります。
ガイドラインで紹介されているテレワーク方式は下表の7つがあり、ガイドラインではこの7つの方式のうちどれを選択すべきかのフローチャート、各方式の特性比較(下写真)も併せて記載されていますので、実際の導入の際にはこのフローチャートも積極的にご利用なさってください。
方式 | 概要 |
VPN方式 | テレワーク端末からオフィスネットワークに対してVPN接続を行い、そのVPNを介してオフィスのサーバ等に接続し業務を行う方式 |
リモートデスクトップ方式 | テレワーク端末からオフィスに設置された端末のデスクトップ環境に接続を行い、そのデスクトップ環境を遠隔操作し業務を行う方式 |
仮想デスクトップ方式 | テレワーク端末から仮想デスクトップ基盤上のデスクトップ環境に接続を行い、そのデスクトップ環境を遠隔操作し業務を行う方式 |
セキュアコンテナ方式 | テレワーク端末にローカル環境とは独立したセキュアコンテナという仮想的な環境を設け、その環境内でアプリケーションを作動し業務を行う方式 |
セキュアブラウザ方式 | テレワーク端末からセキュアブラウザと呼ばれる特殊なインターネットブラウザを利用し、オフィスのシステム等にアクセスし業務を行う方式 |
クラウドサービス方式 | オフィスネットワークに接続せず、テレワーク端末からインターネット上のクラウドサービスに直接接続し業務を行う方式 |
スタンドアロン方式 | オフィスネットワークに接続せず、予めテレワーク端末や外部記録媒体に必要なデータを保存しておき、その保存データを使い業務を行う方式 |
(出典:テレワークセキュリティガイドライン第5版_セキュリティ導入のフローチャート)
(出典:テレワークセキュリティガイドライン第5版_テレワーク方式の特性比較表)
テレワークセキュリティ対策の確認
テレワーク方式をはじめとして、広く共通して実施すべきセキュリティ対策に関して触れられた内容となっており、「経営社」「情報システム管理者」「テレワーク勤務者」の3社の立場に合わせた対策方法が解説されています。
更に3者ごとに13個の対策分類に分けられており、それぞれ立場別に行うべき対策にも変化が出てくるため、ご自身の立場での対策はもちろん、他の立場の方がどのような対策を担うのかを理解、企業全体としての統括的なセキュリティ対策への理解を深めて頂ければと思います。
(出典:テレワークセキュリティガイドライン第5版_テレワーク対策における13の対策分類表)
テレワークにおけるトラブル事例と対策
最後にまとめられている内容は、テレワークにおけるトラブル事例と対策に関してです。ガイドラインでは、①トラブルの具体的な動向、②テレワークセキュリティへの示唆、③有効な対策の3段階で各トラブル事例と、その対策を説明されており、非常に有効的なものとなっています。
トラブル事例は以下に示すように実に15例も挙げられており、その対策はこれまでに触れてきた「経営者」「情報システム管理者」「テレワーク勤務者」のそれぞれが行うべき対策として紹介されているため、実際のケースを想定しやすいことはもちろん、”誰が”・”どのような”対策を講じればよいかをまとめられており、すぐに活用可能なものとなっています。
- VPN機器の脆弱性の放置
- 個人情報保護の強化
- アクセス権限の設定不備
- マルウェア感染
- ランサムウェア
- フィッシングメール
- ビジネスメール詐欺
- USBメモリの紛失
- 無線LAN利用通信の窃取
- 第三者による画面閲覧
- テレワーク端末の踏み台化
- パスワードの使いまわし
- クラウドサービスの設定ミス
- クラウドサービスの障害
- サプライチェーン
まとめ
総務省が発行するテレワークセキュリティガイドラインに関して、説明してきましたが、いかがだったでしょうか?
コロナウイルスの流行によって一気に流れ込んできたテレワークの潮流ですが、テレワーク勤務による新たな働き方としての魅力を感じた企業・従業員は多く、これから益々テレワークが普及していくことになるかと思います。
ガイドラインで触れられているように、テレワーク環境下ではこれまでの働き方以上に、「経営者」「情報システム管理者」「テレワーク勤務者」がセキュリティに対する理解を深め、適切な情報管理体制を築き上げていく必要があります。
この記事がテレワークの導入を検討されている企業等のお力となれば幸いです。
