総務省が公表したテレワークセキュリティガイドラインについて
最終更新日:2021年04月23日
テレワークセキュリティガイドラインとは
テレワークセキュリティガイドラインは、企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用するための指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示したものを総務省が「テレワークセキュリティガイドライン」として策定し、公表したものです。
初版は2004年に12月公表され、現在第5版が公表されています。
この第5版は、テレワークを取り巻く環境やセキュリティ動向の変化に対応するため2021年5月に全面的に改定され、公表されたものです。
ここでは、この「セキュリティガイドライン第5版」※について、及び参照ページに付随する資料などについて説明していきます。
※総務省 テレワークセキュリティガイドライン 第5版(令和3年5月)
参考サイト
総務省 テレワークにおけるセキュリティ確保 テレワークセキュリティガイドライン
セキュリティガイドラインの改定の背景
今まではテレワークを採用する企業も少なく、特定の一部の従業員が利用するものでした。しかし、コロナ禍の広がる中、多くの企業が急遽テレワークを採用し、WEB会議や、一般的な業務がテレワークで行われるようになりました。
また、インターネットが高速化した結果、コンピュータで利用していたデータやソフトウェアをネットワーク経由で利用者に提供するクラウドサービスの普及したことにより、システム構成や利用形態が多様化し、テレワークに移行しやすい環境も整ってきたことも、テレワークへの移行が進んだ要因の一つでしょう。
しかし、標的型攻撃等の高度なサイバー攻撃などが増え、従来型のセキュリティ対策では十分対応できない状況も発生して、テレワークを採用した場合、セキュリティ対策では十分対応できない状況も発生するようになりました。
そのため、セキュリティガイドラインの第5版は全面的に改定されることになったのです。
セキュリティガイドライン改定の主なポイント
第5版全面的に改定されたセキュリティガイドラインのポイントは以下の通りです。
・テレワークの方式を整理し直し、自社の環境や状況に適した方式を選定するための、フローチャートや特性比較を掲載しました。
・「クラウドサービス」や「ゼロトラストセキュリティ」などの、テレワークのセキュリティにも関わる情報についても詳しい説明を記載しています。
・テレワークの実施に当たって、「経営者」、「システム・セキュリティ管理者」、「テレワーク勤務者」がそれぞれの立場からセキュリティの確保に関して、期待される役割を示した上で、具体的に実施すべき事項を述べています。
・現在の状況に合わせて実施すべきセキュリティ対策の分類や内容を全面的に見直しています。
・テレワークセキュリティに関連するトラブルについて、具体的事例を含め全面見直し記載しています。
(事例紹介のほか、セキュリティ上留意すべき点や、採るべき対策についてもわかりやすく説明があります。)
セキュリティガイドラインの想定読者層
セキュリティガイドラインは、「システム・セキュリティ管理者」だけではなく、「経営者」や「テレワーク勤務者」など、幅広い層を読者層として想定しており「経営者」、「システム・セキュリティ管理者」、「テレワーク勤務者」それぞれでセキュリティのための役割があるとし、これらのすべてを想定読者層としています。
テレワークの実施のためのセキュリティ対策について
テレワークの実施に当たっては、「経営者」・「システム・セキュリティ管理者」・「テレワーク勤務者」がそれぞれの立場からセキュリティの確保に関して必要な役割を認識し、適切に担っていくことが重要です。
それぞれの役割は以下の通りです。
テレワークに対しての、経営者層の役割
経営者はテレワークに関し、脅威となることが起きた場合の事業への悪影響や、テレワークにどのようなリスクがあるのかを知り、脅威が起きないように、また万が一発生した際にどのような措置が必要か理解し、そのためにどうするか、対応方針決定と対応計画策定を行い、教育や徹底周知を各関係者に指示する必要があります。
システム・セキュリティ管理者の役割
システム・セキュリティ管理者の基本的な役割は、経営者が示した方針や指示を具体化していくことです。情報セキュリティに関するルール(情報セキュリティ関連規程)を作成し、従業員にルールを遵守させ、ルールに沿った対策の企画を立て実施します。
テレワーク勤務者の役割
テレワーク勤務者の基本的な役割は、システム・セキュリティ管理者が作成した「ルール」を認識・理解して守ることです。ルールや対策が適切に整備されたとしても、ルールを守らなければ、対策が有効に働きません。
テレワーク勤務者がルールの重要性を理解し、しっかり守ることがセキュリティの確保につながります。
テレワークを導入する場合に検討すべきこと
「ルール」・「人」・「技術」のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることが重要です。
セキュリティ対策は、「最も弱いところが全体のセキュリティレベルになる」という特徴があり、「ルール」・「人」・「技術」のどれか一つのレベルが低いと、他の対策をいくら強化しても全体のセキュリティレベルの向上にはつながらないのです。
そのためそれぞれに対しては以下のようなことが必要です。
テレワーク導入時のルール
テレワークを行う場合、オフィスとは異なる環境で業務を行いますので、セキュリティ確保のために、新たなルールを定める必要があります。
オフィスとは異なる環境でも、「こうやって仕事をすれば安全を確保できる」という仕事のやり方をルールとして定めておけば、従業員はルールを守ることだけを意識することで、安全に仕事を進めることができます。
テレワーク勤務者
テレワーク勤務者はオフィスではない場所で作業を行うため、目の届きにくい環境にあり、安全を確保するために定めたルールが守られているかを企業等が確認することは大変です。
したがって、ルールを理解し、実行・定着させるには、教育や啓発活動を通じてルールの趣旨を理解し、ルールを遵守することが自分にとってメリットになることを自覚してもらうことが重要です。
テレワーク勤務者がセキュリティに関する必要な知識を習得すれば、フィッシングや標的型攻撃等の被害を受けにくくなります。
テレワークの技術
「技術」面の対策が「ルール」や「人」では対応できない部分を補完します。
技術的な対策を実施する際には、導入するテレワーク方式の特徴や、テレワークの活用方法を踏まえつつ、利便性とセキュリティのバランスをとったものとする必要があります。
中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)
「テレワークセキュリティガイドライン第五版」とともに公表されたのが、「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)第2版」※です。
このチェックリストは、予算やセキュリティ体制等が必ずしも十分ではない中小企業等の担当者を対象として、「テレワークセキュリティガイドライン」を補うものとして、公表されました。
このチェックリストは、セキュリティ専任の部門や担当者がいない中小企業等のシステム管理担当者で、基本IT用語は聞いたことがあり、セキュリティについては利用シーンがイメージできる方を読者層と想定されています。
想定された読者が、テレワークを実施する際に最低限のセキュリティを確実に確保してもらうための手引き(チェックリスト)として、作成・公表されているものです。
チェックリストは採用する方式によって優先度やチェックする内容が異なるため、各方式別に、優先してチェックする内容や想定される脅威についての説明が表形式で説明され、自社のチェックリストが作りやすいようになっています。
「テレワークセキュリティガイドライン第五版」記載の内容について理解や検討が難しい場合に利用するための資料になっていますが、テレワーク環境で想定される脅威についてわかりやすい解説もありますので、テレワーク利用者にも必要な部分を周知する参考になるでしょう。
※総務省 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)第2版(令和3年5月)
まとめ
テレワークの環境下では、オフィスと違いセキュリティを強化するのが難しい場合も多いのですが、総務省が公表しているこの資料集は、組織に属するそれぞれの役割や、リスクのチェックなど、テレワークを安心して行うために必要な情報が多数掲載されています。
テレワーク導入後も、参考になるため、一度このページから必要な情報をダウンロードし自社のテレワークのセキュリティ状況の確認のためにご利用されることをお勧めいたします。
◆企業一覧
◆ソリューション一覧
◆無料で学べるITセミナー動画
Industlinkの姉妹サイトIndustlink Collegeで先端IT利活用促進事業で開催したセミナー動画が無料で観れます!この機会に、Industlink Collegeへ登録しませんか?
※会員登録、視聴はすべて無料です。
Industlink Collegeはこちら
「数あるソリューションのなかでどれが自社に最適か?選びきれない」などとお悩みの方へ。
沖縄県から委託をうけた事務局が中立的な立場でご相談に対応いたします。お気軽にご相談ください。