「緊急事態宣言を踏まえたテレワーク実施にかかる注意喚起」を内閣サイバーセキュリティセンター(NISC)が1月8日に発表しました。
(1) VPN
Virtual Private Network(VPN)を経由して、組織のネットワークに接続し、業務を実施する場合、迅速なパッチ適用を行う、多要素認証の採用の検討が必要
(2) メール
テレワークの際に使用するメールについて、各機関が定めている「情報セキュリテ ィポリシー」で、フリーメールや商用メールの制限がどのようになっているか、改め て確認が必要。セキュリティ対策を一層高めるため、取り扱うデータの内容に応じて、PGP 暗号化や S/MIMEの活用による対策を検討。特にPGP 暗号化は導入が容易なので推奨。
(3) リモートデスクトップ(RDP)
RDP サービスの深刻な脆弱性(CVE-2019-0708[通 称:BlueKeep]、CVE-2019-1181/CVE-2019-1182)[通称:DejaBlue])のパッチを適用する。意図しないRDP ポート を公開していないか、RDP ポート開放状況を確認が必要。
(4) 遠隔会議システム
外部サービスである「遠隔会議システム」は外部ネットワ ークを使うこととなるため、リスクについて、導入前に十分調査し、運用方法を定め、運用中にリスクが顕在化した際の 対策をあらかじめ検討しておく必要がある。
例:Zoom の脆弱性対策について (IPA) https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html
(5) 機密情報の保護
テレワーク実施時には特に不用意な 機密情報の漏洩に留意が必要。Twitter やインスタグラム等のSNS に投稿したテレワークの写真に、機密性の高い 文書や業務情報が映り込む事例や、ビデオ会議の際に、機密性 の高い情報がカメラの背景に映り込んだり、業務情報がマイクから流れたりしない様に配慮する必要がある。
(6) その他
① 堅牢なパスワードや多要素認証の利用。
② OS やソフトウェア、アプリ、機器の脆弱性を確認したうえで、必要に応じてア ップデートが必要。
③ 不審なメールへの注意喚起が必要。
④ ノートPC やスマートフォン、USB メモリ等は紛失や盗難時の対策として、暗号化等が必要。
⑤ 無線LAN(Wi-Fi)のセキュリティ設定に留意。
⑥ あらかじめインシデ ント発生時の対処方法、連絡方法の確認。
参照元URL https://www.nisc.go.jp/active/general/pdf/telework20200611.pdf
参照元URL https://www.nisc.go.jp/press/pdf/20210108_caution_press.pdf