「テレワークセキュリティガイドライン改訂!」ミツイワセキュリティニュース
テレワークセキュリティガイドライン改訂!
2021年5月、総務省は3年ぶりにテレワークセキュリティガイドラインの改訂を行い、最新版となる第5版を公表しました。働き方改革・地方創生の切り札として、10年以上も前から国家主導で推進が続けられているテレワークは、コロナ禍によって一斉に導入が広まりました。
近年では、「ワーケーション」といった旅行先からテレワークを活用し、働きながら休暇を取るワークスタイルも、新しい日常として浸透しはじめています。働き方改革、人材活用、感染症対策と様々な側面からその価値が見直されているテレワークは、クラウドシステムや5Gの普及によるICT利用環境の変化も手伝って、今後益々拡大が見込まれております。
しかしながら、一方で、急速なワークスタイル(やICT利用環境)の変革には、新たな情報セキュリティリスクも潜んでおり、本年の改定に至りました。
変更のポイントは何か?
第5版では利用用途に沿ったテレワーク方式の紹介から、実施すべきセキュリティ対策とそのタスクを役割毎に 明確化しています。| ポイント | 内容 |
|---|---|
| 役割の具体化 | 「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」がそれぞれ、どのような役割を担うのか解説 |
| クラウド活用・ゼロトラストセキュリティの考え方 | テレワークで、より注視するポイントとして追加解説 |
| テレワーク方式を再編 | 第5版で7種類に増加。 自組織にどのテレワーク方式が最適か、判断するためのフローチャートも追加 |
| セキュリティ対策の全面見直し | 43項目だった対策方法が、98項目に倍増 |
| 事例の更新 | 3年の間にも様々な事例が発生しているため、事例内容自体をアップデート |
実施すべき対策とは?
テレワークで実施すべき対策は、大きく13項目に分けられます。特に、「脆弱性管理」「データ保護」「通信の保護・暗号化」「アクセス制御・認可」は、テレワークを実施する際、重点的に対策を行うべき内容と考えられます。その対策が不十分だと、「VPN機器の脆弱性をついた攻撃」「無線LAN利用通信の不正搾取」 「アクセス権限の設定ミスによる不正閲覧」 「クラウドサービスの設定ミス」による情報漏えいが発生するリスクが高まります。
実際、更新プログラムを適用していないVPN製品の脆弱性が狙われ、認証情報約900件がインターネット上に公開された事件が2020年8月に発生しています。(IPA 情報セキュリティ10大脅威2021より抜粋)
対策製品の導入だけでなく
上述のように、急ごしらえのセキュリティが考慮されていない環境で、テレワークの運用を開始し、セキュリティ事故が発生するケースが急増しています。テレワーク環境にもセキュリティ対策は必須です。また、セキュリティ製品の導入をすることで、対策が十分と考えられがちですが、ネットワーク環境やセキュリティポリシーを含めたテレワーク全体のセキュリティを見直すことで、更なる効果を得ることができます。これを機に、自社が抱えるセキュリティリスクを顕在化させるリスクアセスメントを行うのもいいかもしれません。
