『テレワークセキュリティガイドライン』の概要と考え方

新型コロナウイルス禍で一気に普及が進んだテレワークですが、行政は今後もアフターコロナ、ウィズコロナのニューノーマルな働き方、働き方改革の実現手段の一つとして、テレワークを定着させたいとの意向で、助成金を出すなどの施策に乗り出しています。

雇用者・被雇用者ともにメリットの多いテレワークですが、デメリットがないわけではありません。その一つが情報セキュリティのリスクで、実際にテレワーク導入後、インシデントが発生しないまでもリスクを身近に感じた情報システム担当の方も少なくないのではないでしょうか。

そんな中、総務省が『テレワークセキュリティガイドライン』を改訂中です。
本コラムでは、『テレワークセキュリティガイドライン』第4版の概要と考え方を紹介し、取り入れるべき部分をクローズアップします。

【関連記事】
テレワークにおけるセキュリティ対策

1.テレワーク時におけるセキュリティリスク

2.『テレワークセキュリティガイドライン』とは

3.『テレワークセキュリティガイドライン』より取り入れるべき考え方

4.まとめ

テレワーク時におけるセキュリティリスク

オフィスへ出勤している時とはネットワークやシステム環境が異なるテレワーク。
主に自宅を職場とするテレワーク実施のためには、ICT機器とインターネットが不可欠ですが、その分、企業として管理しなければならないデバイスが増え、ネットワークも広がるため、セキュリティ対策は複雑化します。

改めて、テレワーク時におけるセキュリティリスクを整理してみましょう。

不正アクセスのリスク

テレワークに際し、すべてのICT機器を支給できる企業は多くないでしょう。その場合、従業員は自前の機器を使って業務を行うことになりますが、オフィスの備品とは異なり、一定期間ごとのソフトウェアのバージョンアップなどが徹底されているわけではありません。そのため、古いソフトウェアやパスワードがそのまま使われていることも珍しくありません。

また、自宅で個人契約しているWiFiのセキュリティが必ずしもセキュアなものではない点も問題です。2020年12月現在、もっとも新しくセキュアな認証プログラムは「WPA3」ですが、WPA2やWPAでつないでいればサイバー攻撃者に通信を盗み見られる可能性があり、いくらVPN接続を行ったところで情報漏えいの恐れは消えません。
公共の場でフリーWiFiに接続して業務を行うのは、もってのほかといって良いでしょう。

従業員のミスや故意による情報漏えい

前項でお伝えしたようなポイントが守られていても、従業員側にミスや悪意があればセキュリティインシデントは免れません。

ミスの例を挙げれば、自宅の施錠を怠るなど管理ミスでPCや書類を盗まれたり、モバイルデバイスやUSBメモリを持ち出して紛失してしまったり、メール・FAXなどを誤送信したりなど。
標的型メール攻撃による被害も、ある意味では人為的ミスといえます。

故意によるものは、もともと会社や上司などに対する不満を抱えていた従業員が、上司の目が行き届きにくく帰属意識も薄れやすいテレワーク下で、重要データへアクセスできるアカウント情報や、データそのものをオークションサイトなどで不正に売り渡すといったものです。

【関連記事】
テレワークにおけるセキュリティ対策

『テレワークセキュリティガイドライン』とは

このような背景の中、総務省が『テレワークセキュリティガイドライン』を改訂中で、2020年中には第5版が公開される予定です。現在、公開されているのは、2018年4月に公開された第4版ですが、第5版が出るまではこちらに準拠してセキュリティ体制を整えると良いでしょう。

『テレワークセキュリティガイドライン』とは、総務省が、企業などがテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用できるように取りまとめた指針です。2004年12月に初版を発表後、3回の改訂が行われました。

『テレワークセキュリティガイドライン』第4版は、「1．テレワークにおける情報セキュリティ対策の考え方」「2．テレワークセキュリティ対策のポイント」「3．テレワークセキュリティ対策の解説」の3つの章に分かれています。
また、第4版から「中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）が公開され、情報セキュリティの専任担当がいないような中小規模の企業でも、自社のセキュリティ対策がガイドラインに沿っているかどうかを手早く確認できるようになりました。チェックリストには、チェックリストの対策を実施するための具体的なアドバイスも記載されています。

『テレワークセキュリティガイドライン』より取り入れるべき考え方

前章でお伝えした通り、『テレワークセキュリティガイドライン』第4版は3つのパートから成っており、「1．テレワークにおける情報セキュリティ対策の考え方」が全体の根幹を成す見解を表しています。
ここでは、同章を嚙み砕いてご紹介いたします。

「ルール」「人」「技術」のバランスを取る

情報セキュリティを高水準で保つために必要な要素が「ルール」「人」「技術」の3つです。
ガイドラインでは、自社にとって最もバランス良くなるように、この3要素を保つことが重要だと述べられています。

ルール

同ガイドラインでの「ルール」とは、セキュリティの専門家ではないテレワーク勤務者のセキュリティ意識の拠り所となり判断基準となるもののことです。
ルールづくりを主導するのは経営者であり、システム管理者は実務を担当するかたちとなります。

人

「ルール」を作るのも「人」ですし、それを守ったり守らせたりするのもまた「人」です。
同ガイドラインでの「人」には、経営者・システム管理者・テレワーク勤務者が含まれます（それぞれの立場については後述します）。

「ルール」を策定したら、周知のうえ研修など教育を行い、自己啓発を促し、各々が高いセキュリティ意識を維持することが大切です。

技術

同ガイドラインでの「技術」とは、テクノロジーを用いて認証・検知・制御・防御を自動的に実施できるソフトウェアやサービスの利用を指しています。
そして、その際は、テレワーク先の個々の環境に合わせた適切な対策を講じる必要があります。

採用しているテレワークの方式に応じた対策を取る

ガイドラインで示されているテレワークの実施方法は以下の6つです。

（1）リモートデスクトップ方式
（2）仮想デスクトップ方式
（3）クラウド型アプリ方式
（4）セキュアブラウザ方式
（5）アプリケーションラッピング方式
（6）会社PCの持ち帰り方式

これら複数を組み合わせて実施しているところもあるでしょう。

ガイドラインでは、それぞれの方式について、セキュリティ対策の難易度などについて触れられており、「テレワーク端末に電子データを保存するか？」「クラウドサービスを利用するか？」といった項目での比較表も掲載されています。
自社が採用しているテレワークの方式のセキュリティ上の特徴を知っておくことが大切です。場合によっては、異なる方式への切り替えを検討する必要も出てくるでしょう。