ウイルス感染対策

総務省「テレワークセキュリティガイドライン」の解説

法人のお客さまに起こりがちな状況

昨今、社会的背景から、急速なテレワークへの移行が求められています。

そこで情報システム担当者や情報セキュリティ担当者が手を尽くした結果、ひとまずテレワーク体制を構築できたはいいものの、同時に自社の課題が見えてきた企業も、多いのではないでしょうか。

たとえば、個々人の家にPC端末があるため、セキュリティレベルの維持が困難になってしまうこともそのひとつです。

一方、総務省は以前より「テレワークセキュリティガイドライン」を発行しており、テレワーク時の情報セキュリティレベル向上に向けた取り組みを行っています。

※2020年6月時点では第4版が発行されており、本記事はその内容を基に執筆しています。

今後も継続的なテレワーク体制を維持していく可能性が高い現在、この「テレワークセキュリティガイドライン(第4版)」の内容を、わかりやすいように要約しました。

同時に、テレワーク体制整備のハードルを下げる補助金や助成金についても、ご紹介します。

テレワークにおける情報セキュリティ対策の考え方

※以下に記載するのは、総務省の「テレワークセキュリティガイドライン(第4版)」をシンプルに、わかりやすく要約したものです。
自社に取り入れる際は、必ず同ガイドラインの内容をご確認ください。

総務省のテレワークセキュリティガイドラインで最も重要視されているのは、「ルール」「人」「技術」の3要素を、バランスを取って対策することです。

ルール

セキュリティの専門家ではないメンバーが、業務においてセキュリティ面で安心かどうかを都度判断することは効率的ではなく、かつ正しい判断が難しいといえます。

そのためルールを設定することで「ルールを守ることを意識する」ことに集中するだけで、安全に仕事を進めることができます。

ルールを定めても、実際に実行する人が内容を遵守しなければ、絵に描いた餅といえます。

きちんと守ってもらうには、本人がルールを守ることでどのようなメリットがあるか、きちんと納得できる形で提示する必要があります。

技術

技術は、ルールと人とでは埋められない個所を補完するものです。

脅威に対して「認証」、「検知」、「制御」、「防御」を自動的に実施するもので、アナログからデジタルなものまで広く含みます。

牛乳パックのどこか1面でも中段に穴が開いていたら、他の面が大丈夫でも中の牛乳が中段まで漏れてしまうように、セキュリティも最も低いレベルに揃ってしまいます。

例1:きちんとルールを設定し、堅牢なセキュリティシステムを導入していても、社員が飲み屋で機密情報を話してしまうと、情報漏えいとなる

例2:きちんとルールが設定され、社員の教育や意識がしっかりしていても、セキュリティソフトが適切に設定されていなければ、マルウェアの餌食になってしまう

現在の自社において、上記の観点でどこが弱いのかを客観的な目線で確認し、今後の方針を定める必要があります。

テレワークの方法に応じた対策の考え方

テレワークには「PCなどのテレワーク用の端末へのデータ保存の有無」「オフィスで利用するPC端末との関係」と、「クラウドサービスを利用するかどうか」の3要素の組み合わせによって分類された、計6種類のパターンがあります。

<テレワークの6種類のパターン>

  1. リモートデスクトップ方式
    オフィスにある端末を、社員の自宅等から遠隔操作します。
  2. 仮想デスクトップ方式
    テレワーク用の仮想端末を、社員の自宅等から遠隔操作します。
  3. クラウド型アプリ方式
    DropboxやGoogleドライブなどのオンラインストレージや、その他クラウドサービスを利用して業務を行います。
  4. セキュアブラウザ方式
    クラウド型アプリ方式と似た方式ですが、特殊なブラウザを用いることで、テレワーク端末のローカル環境にファイルをダウンロードしたり印刷したりできなくする方式です。
  5. アプリケーションラッピング方式
    テレワーク端末内に「コンテナ」と呼ばれる独立した仮想環境を構築し、その中で業務用アプリケーションを動作させる方式です。
  6. 会社PCの持ち帰り方式
     

情報システム担当者は、自社の環境に応じて適切な方式を検討し提案を行う必要があります。

経営者、情報システム担当者、実務者、それぞれの立場で考えるべきポイント

テレワークにおける情報セキュリティは、情報システム担当者のみが考えるべきものではありません。

中には経営層レベルでの判断が必要となる他、実務を行うスタッフにおいても、業務において意識を高く維持し続けなければなりません。

ガイドラインに書かれているポイントとしては次のようなものがあります(部分的に抜粋)。

<経営者>

ルールを作る立場にいることを自覚し、必要な対策をルールとして定めていかなればなりません。

  • 情報セキュリティポリシーの策定と見直し
  • 教育・啓蒙活動の実施と訓練
  • 必要な人材や資源に対する適切な予算配分

<情報システム担当者>

システム全体を管理する担当者として、テレワーク時のアクセス性の高さと不正侵入、ウイルス蔓延などの脅威に対するリスクへの対応を両立させる必要があります。

  • マルウェアに対する対策の実施
  • 端末の紛失・盗難に対する対策
  • 重要情報の盗聴に対する対策
  • 不正アクセスに対する対策
  • 外部サービスの利用に対する対策

<実務者>

ポイントは情報システム担当者とほぼ同様である一方、オフィス勤務時は簡単にできていたシステム担当者への相談がやりにくくなっていることを踏まえ、自身で情報を管理することの重要性を自覚し実施すべき対策を理解する必要があります。

  • マルウェアに対する対策
  • 端末の紛失・盗難に対する対策
  • 重要情報の盗聴に対する対策
  • 不正アクセスに対する対策
  • 外部サービスの利用に対する対策

さらに、セキュリティ対策のポイントとして、総務省が具体的な例を挙げていますので、そちらもご参照ください。

セキュリティ体制の整備時に使える補助金・助成金

社内の情報セキュリティ体制を整える場合、システム導入が絡んでくることが一般的です。

こうした場合の負担を軽減できる補助金・助成金をご紹介いたします。

【IT導入補助金】

詳細: https://www.it-hojo.jp/

中小企業・小規模事業者等が、自社の課題やニーズに合ったITツールを導入する経費の一部を補助することで、企業の業務効率化・売上アップをサポートすることを目的とした補助金です。

かかった費用の1/2、最大450万円までを補助してくれるものになります。

※テレワーク導入目的であれば最大3/4まで補助を受けられる場合もあります

受給要件に独立行政法人情報処理推進機構(IPA)が実施する「SECURITY ACTION」の「★一つ星」要件である「情報セキュリティ対策5か条」に関して取り組むことに同意することが入っているため、自社が取り組んでいるかどうかについて確認したうえで申請を行う必要があります。

<IPA:情報セキュリティ対策5か条>
  • OSやソフトウェアは常に最新のものにすること
  • セキュリティソフトを導入すること
  • パスワードを強化すること
  • 共有設定を適正なものにすること
  • 脅威や攻撃の手口を知り対策すること

また、東京都限定ではありますが次のようなセキュリティ面に特化した助成金も設けられています。

【サイバーセキュリティ対策促進助成金(東京都)】

詳細: https://www.tokyo-kosha.or.jp/support/josei/setsubijosei/cyber.html

中小企業者等が自社の企業秘密や個人情報等を保護する観点から構築したサイバーセキュリティ対策を実施するための設備等の導入を支援する助成金です。

助成対象経費の1/2以内、最大1,500万円を助成してくれます。

※標的型メール訓練においては別途規定

対象はサイバーセキュリティ対策を実施するために必要となる次の機器等の導入、およびクラウド利用に係る経費です。
  • (1)統合型アプライアンス(UTM等)
  • (2)ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)
  • (3)コンテンツセキュリティ対策製品(ウイルス対策、スパム対策等)
  • (4)アクセス管理製品(シングル・サイン・オン、本人認証等)
  • (5)システムセキュリティ管理製品(アクセスログ管理等)
  • (6)暗号化製品(ファイルの暗号化等)
  • (7)サーバー(最新のOS塔載かつセキュリティ対策が施されたものに限る)
  • (8)標的型メール訓練

助成対象業者は、IPA(独立行政法人 情報処理推進機構)が実施しているSECURITY ACTIONの2段階目(★★二つ星)を宣言している都内の中小企業者・中小企業団体です。

中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針を定め、外部に公開することが要件となります。

セキュリティレベルの向上は国からも推奨されている企業としての重要な事項

総務省は、何年も前からテレワーク推進の立場を取り、同時にセキュリティレベル向上のためにガイドラインを策定して公開してきました。

同時に補助金や助成金などを導入し、昨今は特に、セキュリティに対する投資のハードルは下がっている状態といえます。

テレワーク推進の機運が高まる現在、セキュリティレベルを向上させることで、自社としての安心感だけでなくクライアントから見た安心感も改善します。

ぜひ積極的に導入を検討してみてください。

トレンドマイクロからのアドバイス

テレワーク時のセキュリティ体制を整えるには、網羅的なセキュリティ対策が必要です。

トレンドマイクロでは、現時点で不足しているポイントに対して効果的な対策を行える様々なソリューションをご用意しています。

本記事で紹介した補助金・助成金もふまえて、ぜひご検討を進めてください。

VBBSS:ウイルス・スパイウェア対策からデバイスコントロールまでオールインワン

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は、中小企業・中堅企業に求められるセキュリティ機能をオールインワンで持ち合わせ、さらに管理者の負担を軽減できる「軽くて・強くて+管理負担が少ない」セキュリティ製品です。

Apex One SaaS:先進技術と高い実績を融合により、強力なエンドポイント保護を実現

Trend Micro Apex One™ SaaSは、先進技術と実績ある技術を融合したXGen(クロスジェネレーション)のセキュリティアプローチにより、さまざまな脅威に対して広範な保護を提供し、検出から対応までをシームレスに対応できる法人向け総合エンドポイントセキュリティサービスです。

CAS:高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラムも検出できるメール・コラボレーションセキュリティ製品です。

※すべての未知の脅威に対応するものではありません

Trend Micro Cloud One - Workload Security™:パフォーマンスを損なわずにDC、クラウド、 コンテナ保護

Trend Micro Cloud One - Workload Security™は脆弱性や不正プログラム及び不正な変更などの脅威から、仮想・物理・クラウド及びコンテナ環境のハイブリッド環境を防御できるソリューションです。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り