新型コロナウイルスの感染拡大によって、テレワーク・リモートワークという新しい働き方を実施する企業が増えてきました。
総務省もテレワークの実施を積極的に推進しており、安心して導入・活用するための指針として「テレワークセキュリティガイドライン第5版」を公開しています。
今回は、ガイドライン第5版の中からここだけは抑えておきたいポイントをピックアップし、記事にまとめました。
総務省が提唱する「テレワークセキュリティガイドライン第5版」とは
テレワークセキュリティガイドライン第5版とは、総務省が 提唱するテレワークを安心かつセキュアに導入・運用してもらうためのガイドラインのことです 。テレワークを取り巻く環境、セキュリティ動向の変化を受け、2021年6月に第5版が公開されました。
業務を行う場所に応じて在宅勤務、サテライトオフィス勤務、 モバイル勤務に分類し、テレワークの幅広い形態を想定したガイドラインとなっています。
テレワークの方式
テレワークを実現する方式にはさまざまなタイプがありますが、総務省は以下の7種類に分類して、それぞれを詳細に解説しています。
ここでは、テレワーク各方式の概要を簡単にチェックしていきましょう。
| 方式 | 概要 |
| VPN方式 | インターネット上に仮想の専門線を設定し安全に通信を行ことができるVPN(Virtual Private Network)を介してオフィスのサーバ等に接続し業務を行う方法 。 |
| リモートデスクトップ方式 | 外部の端末から社内の端末にリモートアクセスして操作する方法。 |
| 仮想デスクトップ(VDI)方式 | VDI(仮想デスクトップ)サーバーを複数作成し、OSとアプリケーションを占有してネットワーク経由で利用する方法。 |
| セキュアコンテナ方式 | セキュアコンテナと呼ばれる仮想的な環境を設け、暗号化された安全な場所で作業を行う方法。 |
| セキュアブラウザ方式 | セキュアブラウザと呼ばれるセキュリティ機能に特化した特殊なブラウザを利用して、オフィスのシステムにアクセスし業務を行う方法。 |
| クラウドサービス方式 | GoogleドライブやDropboxなど、インターネット上のクラウドサービスに直接アクセスして業務を行う方法。 |
| スタンドアロン方式 | ネットワークには接続せず、事前に端末や外部記録媒体に必要なデータを保存しておき、その保存データを使って業務を行う方法。 |
ここでは概要の解説のみに留めましたが、各方式それぞれメリット・デメリットがありますので、自社や組織に適したものを検討・選定してください。
テレワークのセキュリティ対策一覧
テレワーク運営者がもっとも気になる点が、会社と離れた場所で作業を行うことによるセキュリティへの不安ではないでしょうか。
ガイドラインに記載されているセキュリティ対策は下記の13種類。それぞれの概要を簡単にチェックしていきましょう。
| 対策名 | 概要 |
| ガバナンス・リスク管理 | 企業がテレワークを実施する上で必須となるリスク、情報セキュリティルールなどの整備に関する対策。 |
| 資産・構成管理 | ハードウェアやソフトウェアなど、テレワーク業務にあたって必要となる資産・構成を管理するための対策。 |
| 脆弱性管理 | サイバー攻撃に悪用される既知の脆弱性の排除に関する対策。 |
| 特権管理 | システム管理者の権限を保護する対策。 |
| データ保護 | 保護するべき情報データの特定、保存されているデータの機密性・可用性の確保に関する対策。 |
| マルウェア対策 | 「ウイルス」「ワーム」など、マルウェアの感染防止に関する対策。 |
| 通信の保護・暗号化 | 通信データの保護や暗号化に関する対策。 |
| アカウント・認証管理 | アカウントの管理や、認証の手法に関する対策。 |
| アクセス制御・認可 | データやサービスへのアクセスを必要最小限に抑え、権限者のみの制限に関する対策。 |
| インシデント対応・ログ管理 | マルウェアの感染、不正アクセスといったセキュリティインシデントへの対応に関する対策。 |
| 物理的セキュリティ | 自然災害やデバイスの紛失など、物理的なセキュリティ保護に関する対策。 |
| 脅威インテリジェンス | 日々変化する脅威や脆弱性情報を、迅速に反映させるための対策。 |
| 教育 | テレワーク勤務者に対するセキュリティへの意識、認識に関する対策。 |
ガイドラインでは、上記で記載したセキュリティ対策を「経営者」「システム管理者」「テレワーク勤務者」の3つの観点から解説していますので、こちらもぜひご覧ください。
テレワークのセキュリティ対策で検討すべきポイント
バランスのとれた対策
テレワークのセキュリティ対策では、「ルール」「人」「技術」とバランスの取れた対策が必要です。
ルール
専門家でない限り、セキュリティに必要な対策を講じても、それが効率的かどうか判断することはできません。
テレワークに関するルールを定めておくことで、従業員がルールを守り続ける限り、安全に業務を進めることができます。
人
いくらルールを定めても、従業員がそれを守らないと効果を発揮することはできません。
人に心がある以上100%実施することは難しいですが、教育や啓発活動を通じてルールを厳守することの正しさを理解してもらいましょう。
技術
技術的な対策では、テレワークの方式や活用法を踏まえ、利便性とセキュリティのバランスをとったものを選びましょう。
それぞれの立場に応じた役割
本ガイドラインでは、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」のそれぞれの立場から、具体的に実施すべき事項を示しています。
経営者の役割
経営者に求められる役割は、セキュリティに 関するリスクの認識、セキュリティポリシーの策定、管理体制の構築、セキュリティ資源の確保など。
システム・セキュリティ管理者の役割
システム・セキュリティ管理者に求められる役割は、セキュリティ対策の見直し、ハードウェア・ソフトウェアなどの適切な管理、セキュリティインシデント発生時の対応、最新セキュリティの把握など。
テレワーク勤務者の役割
テレワーク勤務者に求められる役割は、テレワークで使用するデバイス、認証情報の管理、テレワーク環境の確保、セキュリティインシデント発生時の迅速な報告など。
クラウドサービスの活用
クラウドサービスは事業者が提供する資源の範囲によって、SaaS・PaaS・IaaSの3種類に分類されますが、テレワーク環境においてはSaaSを活用するシーンが多く見受けられます。
代表的なものでは、Webメールやオンライン会議、ファイル共有などさまざまなサービスがあり、企業のセキュリティ対策や運用コストの低減に大きく貢献してくれます。
ゼロトラストセキュリティ
ゼロトラストセキュリティとは、文字通り「全て信頼しない」ことをコンセプトとした情報セキュリティの考え方のことを指します。
年々高度化するサイバー攻撃への有効な手段として注目を集めており、次のような考え方が特徴的です。
- ネットワークの内部と外部を区別しない
- 強力な認証機能とアクセスに関する厳密な管理
- 環境の制約を設けず、すべてにおいてセキュリティ対策を考える など
ゼロトラストセキュリティは、従来の境界型セキュリティに代わるものではなく、両方を組み合わせた対策が今後重要になっていくことでしょう。
まとめ
今回は、110ページにも及ぶ「テレワークセキュリティガイドライン第5版」を簡単にまとめてご紹介しました。
高度化するサイバー攻撃に対し、適切なセキュリティ対策を行うことは、テレワーク環境を構築する上で重要な要素です 。
テレワークを導入したいが、セキュリティに不安がありなかなか踏み出せないという企業様にとって、本記事が少しでも導入・推進の手助けになると幸いです。
