専任担当不在でもセキュリティ確保しやすく - 総務省がテレワーク向けチェックリスト
セキュリティは「難しい」
最近のニュースで注目されている銀行口座からの不正引き出し問題は、「ドコモ口座」にとどまらない状況になってきました。ユーザーが増えるとサイバー攻撃の対象となりやすく、リスクが高まります。
仕事で使用しているPCやシステムにも同様のリスクが存在します。在宅勤務は特に注意が必要で、オフィスより危険であることを前提とした対策が求められます。しかし、新型コロナウイルス感染症(COVID-19)パンデミックの影響で急に在宅勤務へ移行した職場では、十分な準備ができなかったかもしれません。
テレワークで留意すべきセキュリティについては、以前ボクシルでも紹介した総務省の資料「テレワークセキュリティガイドライン 第4版」が参考になるでしょう。テレワークで生じるセキュリティ課題の解説や、ルール作り、必要なツールがまとまっており、全体像の把握に役立ちます。
とはいえ、日本企業ではセキュリティ担当者不足が指摘されていて、このガイドラインに目を通して適切に対応できる人は限られるはずです。
普段ICTシステムの管理を担当している人でも、専門的なセキュリティ対策は未経験だったり知識不足だったりすることが少なくありません。まして、専任ICT管理者の確保すら難しい中小企業では、ガイドラインを与えられても対応など困難です。
総務省「セキュリティチェックリスト」公開
総務省は、専任セキュリティ担当者のいない中小企業でも安全なテレワーク環境を構築可能とするため、新たに「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)」を公開しました。この手引きに従って対策すれば、最低限のセキュリティを確保できるとしています。
対象は非専門家
この手引きは、主に、セキュリティ専任担当者を配置していない中小企業へ向けた資料です。想定読者は現場のICT管理者で、セキュリティの専門用語に出会った場合、仕組みの詳細までは把握していなくても利用シーンがイメージできるレベルの人を対象としています。
たとえば、VPNやフィルタリング、アンチウイルスといったものの利用シーンがイメージでき、検索などを駆使して調べながら設定作業の行える人、だそうです。
テレワーク環境構築の基礎知識も
手引きの内容について、総務省は「本書で示すセキュリティ対策は、必ずしも網羅的ではありませんが、基本的かつ重要な(最低限必要となる)対策になります」と説明しています。「実現可能性が高く優先的に実施すべきセキュリティ対策を簡潔に示し」、従うことで「効率的にセキュリティ対策を進める」ことが可能です。
この手引きは、セキュリティ対策の指針としてだけでなく、テレワークシステムの基礎知識も得られ、全体像を学ぶ入門書にもなります。さまざまなテレワーク方式の概要や特徴が解説されていて、マルウェアや特に企業が標的にされやすいランサムウェア、不正アクセス、フィッシング、情報漏えい、端末の紛失や盗難など、テレワーク環境で注意すべき脅威が把握できます。
テレワークセキュリティ手引きの概要
それでは、テレワークセキュリティの手引きに従い、対策の手順をみていきましょう。概要を紹介します。
テレワークの方式を調べる
手引きでは、テレワーク方式を分類することから始めます。方式によって必要なセキュリティ対策が異なるためです。
具体的には、テレワークを実施する際に使用する端末が会社支給なのか従業員所有なのか、リモートアクセスするかしないか、アクセスするならどんな手段を使うか、端末にデータを保存するかどうか、といった質問に答えていくと、いずれかの方式に分けられます。
出典:総務省 / 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)
手引きで示されるテレワーク方式は、以下の8種類です。
- 会社支給端末・VPN/リモートデスクトップ方式
- 会社支給端末・会社非接続方式(クラウドサービス型)
- 会社支給端末・会社非接続方式(手元作業型)
- 会社支給端末・セキュアブラウザ方式
- 従業員所有端末・VPN/リモートデスクトップ方式
- 従業員所有端末・会社非接続方式(クラウドサービス型)
- 従業員所有端末・会社非接続方式(手元作業型)
- 従業員所有端末・セキュアブラウザ方式
チェックリストで対策
考慮すべきセキュリティ対策や、各対策の優先度などは、テレワーク方式によって異なります。手引きでは方式ごとに対策チェックリストがあり、それぞれで考えられる脅威、脅威ごとの対策、対策の優先度などが一目で分かるよう整理されています。
なお、少し古いデータではありますが、キーマンズネットや総務省の調査によると、従業員所有端末を業務に使うBYODの普及率は高くないようです。しかし、コロナ禍で緊急対応として取り入れた企業もあり、これを狙った攻撃もあるため注意が必要です。
実際は、企業が従業員にPCやスマートフォンなどの端末を貸与する、従業員所有端末ベースのテレワーク方式向け対策に従うパターンが多いでしょう。その場合は、「会社支給端末」の方式ごとに用意された「対策チェックリスト」を確認します。
チェックリストには実施すべき対策が列挙され、各対策は「分類」「内容」「想定脅威」が簡潔に示されているので、無理なく理解でき、対策実施時にも進捗の管理が容易です。
分類が「資産管理」の場合は、内容が「使用している端末とその利用者を把握している」「取り扱う重要情報を把握している」、想定脅威が「不正アクセス、盗難・紛失」といった具合になっています。また、「アクセス制御」という分類は「論理」と「物理」に細分化され、前者はシステムに対するアクセス許可設定について、後者は「覗き見防止フィルタ」「スクリーンロック」などについての対策が説明されます。
ほかにも、不正アクセスやマルウェア感染といったインシデントを未然に防ぐ対策にとどまらず、「インシデント対応・管理」という分類では、つい失念してしまいがちな、インシデント発生時の対応方針を事前に決めておくことも求めています。
チェックリストでは赤枠3領域が対象(出典:総務省 / 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版))
ZoomやTeamsの設定例も
この手引きの親切な点は、テレワークで利用されることの多い具体的な製品を取り上げ、設定例を示しているところです。今回公開された初版では、Web会議システムの「Cisco WebEx Meeting」「Microsoft Teams」「Zoom」の3つについて、解説書が用意されています。
そのほかの製品についても、解説書を順次作成していくそうです。
旬のセキュリティ情報を得よう
システムを新規導入すると、攻撃されやすい弱点が新たに生ずる可能性があり、適切な対策が必要です。しかも、サイバー攻撃の手口は日々変化し、それに応じて対策も進化します。セキュリティ対策では旬の情報を得ることが重要です。
総務省は、今後もガイドラインとチェックリストの両方を改定し、より分かりやすく、より実情に即した内容にすることを予定しています。最新情報は「テレワークにおけるセキュリティ確保」ページで入手できるので、定期的に確認するようにしましょう。
このページには「テレワークのセキュリティあんしん無料相談窓口」へのリンクも設けられていて、分からないことや悩みが生じた場合には頼りになりそうです。
