テレワークは普段のオフィス内での作業と違う点がたくさんあります。使用しているインターネットの種類、ファイアウォールがない、また置き忘れや盗難等の多くの脅威にさらされます。その脅威に対する脆弱性とどんな事故に繋がるかをテレワークセキュリティガイドライン第4版をもとに記載したのでご覧ください。
総務省 平成30年4月 テレワークセキュリティガイドライン第4版
参考URL:https://www.soumu.go.jp/main_content/000545372.pdf
脅威 | マルウェア | 端末の紛失、盗難 | 重要情報の盗聴 | 不正アクセス |
脆弱性 | ・ウイルス対策ソフトの未導入、更新不備 ・アップデートの未実施 ・偽サイトへのアクセス ・スパムメールの添付ファイル開封、リンクのクリック | ・外出先で端末入りのバッグを紛失 ・カフェで端末を放置して長時間離席 ・暗号化せずに保存 ・バックアップ未実施 | ・無線LANの設定不備 ・偽アクセスポイントへの接続 ・暗号化せずに送信 ・画面をのぞかれる ・従業員による内部不正 | ・ファイアーウォールなし ・推測されやすいパスワードの使用 ・パスワードの使いまわし ・ログイン方法を書いたメモの放置 ・アップデートの未実施 |
事故 | 情報漏洩、重要情報の喪失 | 情報漏洩、重要情報の喪失 | 重要情報の喪失、作業中断 | 重要情報の喪失、作業中断 |
総務省 平成30年4月 テレワークセキュリティガイドライン第4版
参考URL:https://www.soumu.go.jp/main_content/000545372.pdf
ガイドライン記載事項 | 対策例 |
システム全体を管理する重要な立場であることを自覚し、情報セキュリティポリシーに従ってテレワークのセキュリティ維持に関する技術的対策を講じるとともに定期的に実施状況を監査する。 | 情報セキュリティポリシー策定 |
情報のレベル分けに応じて、電子データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行う。 | ファイルサーバでの権限設定、機密情報の取り扱いが必要な場合はリモートデスクトップ方式等と併用する必要あり |
テレワーク勤務者の情報セキュリティに関する認識を確実なものにするために、定期的に教育・啓発活動を実施する。 | セキュリティ研修、監査ログやサインインログをもとにした監査 |
情報セキュリティ事故の発生に備えて、迅速な対応がとれるように連絡体制を確認するとともに、事故時の対応についての訓練を実施する。 | インシデント対応ガイドラインの策定 |
フィルタリング等を用いて、テレワーク勤務者が危険なサイトにアクセスしないように設定する。 | ウイルス対策ソフトやVPNで社内UTMを経由してのインターネットに制限 |
テレワーク勤務者がテレワーク端末にアプリケーションをインストールする際は申請させ、情報セキュリティ上の問題がないことを確認した上で認める。 | Intune等のMDMでデバイス管理をしインストールを制限する |
貸与用のテレワーク端末にウイルス対策ソフトをインストールし、最新の定義ファイルが適用されているようにする。 | Intune等のMDMでアプリケーションの管理をする |
貸与用のテレワーク端末のOS及びソフトウェアについて、アップデートを行い最新の状態に保つ。 | Intune等のMDMでアップデートの管理をする |
私用端末をテレワークに利用させる際は、その端末に必要な情報セキュリティ対策が施されていることを確認させた上で認める。 | Intune等のMDMで一定の基準をクリアしたデバイスはテレワークの許可をする |
ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する。 | バックアップやスナップショットが必要 |
金融機関や物流業者からの事務連絡を装うなどの不審なメールが迷惑メールとして分類されるよう設定する。 | 社外でのインターネットはVPNで社内UTMを経由することで担保する |
台帳等を整備し、貸与するテレワーク端末の所在や利用者等を管理する。 | 台帳等で貸し出し管理をする。(会社 PC の持ち帰り方式が対象) |
テレワーク端末において無線 LAN の脆弱性対策が適切に講じられるようにする。 | 公衆無線LANの禁止、適切なアクセスポイントを使用、+VPN使用 |
社外から社内システムへアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用する。 | 多要素認証、電子証明書 |
テレワーク勤務者がインターネット経由で社内システムにアクセスする際のアクセス方法を定める。また、社内システムとインターネットの境界線にはファイアウォールやルータ等を設置し、アクセス状況を監視するとともに、不必要なアクセスを遮断する。 | 多要素認証、電子証明書、社内UTMを経由したVPN |
社内システムへのアクセス用のパスワードとして、強度の低いものを用いることができないように設定する。 | AzureAD等の認証基盤を利用し、パスワードポリシー、多要素認証を使用する |
メッセージングアプリケーションを含むSNSに関する従業員向けの利用ルールやガイドラインを整備し、その中でテレワーク時の利用上の留意事項を明示する。 | VPNで社内UTMを経由することで制限 |
ファイル共有サービス等のパブリッククラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を禁止する。 | 会社で許可されたサービスに限定して管理ができるようにする |