急速に広がるテレワークに対応してセキュリティガイドラインが改定!

2021年5月31日、総務省は、「テレワークセキュリティガイドライン 第5版」[1]を公表しました。本記事では、今回の改定内容含めガイドラインについて説明します。
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/[2]

テレワークセキュリティガイドラインとは

総務省のWebサイト「テレワークにおけるセキュリティ確保」[2]では、「テレワークセキュリティガイドライン」策定の目的について以下のように述べられています。

企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用いただくための指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」を策定・公表しています。

特に、今回の改訂では、新型コロナウイルス感染症によるテレワークの普及や、Emotetをはじめとするサイバー攻撃の高度化・複雑化を踏まえた内容となっています。

実際に令和2(2020)年に流行した感染症に対応するため、多くの企業等において急速にテレワークの導入や活用が進みました。

[1]第1章 §1

テレワーク環境を含む情報システムに対するサイバー攻撃についても、正規のメールと容易に区別がつかないような不審メールによるマルウェア感染(例:Emotet)の広まりや、特定の企業等を徹底的に狙った標的型攻撃の発生など、高度化・複雑化し続けています。

[1]第1章 §1

改定の主な変更点

今回の「テレワークセキュリティガイドライン 改定概要」[3]では、主要なポイントとして、以下を挙げています。

  1. テレワーク方式を再整理し、適した方式を選定するフローチャートや特性比較を掲載
  2. クラウドやゼロトラスト等のセキュリティ上のトピックについても記載
  3. 経営者・システム管理者・勤務者の立場それぞれにおける役割を明確化
  4. 実施すべきセキュリティ対策の分類や内容を全面的に見直し
  5. テレワークセキュリティに関連するトラブルについて、具体的事例を含め全面見直し
    (事例紹介のほか、セキュリティ上留意すべき点や、採るべき対策についても明示)

本記事では、こちらの項目から、1、3、5をピックアップして内容を紹介します。

1. テレワーク方式選定のためのフローチャート・特性比較

テレワークの方式について、以下の7方式に再整理され、それぞれ詳説が加えられました。

  1. VPN方式
  2. リモートデスクトップ方式
  3. 仮想デスクトップ(VDI)方式
  4. セキュアコンテナ方式
  5. セキュアブラウザ方式
  6. クラウドサービス方式
  7. スタンドアロン方式

さらに、テレワーク方式選定のためのフローチャートが新たに掲載されました。

テレワーク方式選定のためのフローチャート
[1]第3章 §1(1)フローチャート

また、各テレワーク方式の特性を、様々な角度から分析し、比較表にまとめています。

[1]第3章 §1(2)テレワーク方式の特性比較

3. テレワークセキュリティ対策

テレワークセキュリティにおける「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の3つの立場が果たすべき役割について、以下の図とともにより具体的な解説が加えられました。

[1]第2章 §2

また、第4章では、3つの立場・13のカテゴリ、「基本対策」と「発展対策」の2つの区分で整理して、必要な対策をまとめています。第4版と比べ内容が倍増されており(98項目)、より網羅的な内容となっています。なお、各項目の詳細は第5章に記載しています。

5. テレワークセキュリティに関連するトラブル

テレワークセキュリティに関する具体的な事例が新たに独立した章として追加されました(第6章)。近年の実事例に基づき、15の事例が取り上げられ、それぞれどんな対策が有効であるのかについては、第4章で挙げられた対策項目に紐づけられています。

中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)

総務省は、「テレワークセキュリティガイドライン」に併せて、より基本的かつ重要な項目のみをまとめた「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」[4]を公表しています。総務省のWebサイト「テレワークにおけるセキュリティ確保」[2]では、こちらの手引きの作成目的について次のように述べています。

セキュリティの専任担当がいないような中小企業等におけるシステム管理担当者(専門用語について仕組みの詳細まではわからないが、利用シーンがイメージできるレベルの方)を対象として、テレワークを実施する際に最低限のセキュリティを確実に確保してもらうための手引き(チェックリスト)を作成・公表しています。

「テレワークセキュリティガイドライン」がテレワークに関わる全ての読者を想定した網羅的な内容になっているのに対し、こちらの手引きは、優先度の高い項目をより平易に解説しつつ、具体的な製品の設定方法などにも触れている、必要最低限の対策を確実に実施できる資料となっています。

まとめ

「テレワークセキュリティガイドライン 第5版」について内容を紹介し、付随して公開された「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」にも触れました。テレワークが急速に普及する中で、セキュリティ対策が追いついていないケースもあるかと思います。これらの資料を用いて、今一度、テレワークの安全性を見直してみてはいかがでしょうか。

参考文献