情報漏えい対策

総務省公開の
「中小企業向けテレワークセキュリティの手引き(初版)」の活用方法

  • TOP
  • 課題から探す
  • 総務省公開の「中小企業向けテレワークセキュリティの手引き(初版)」の活用方法

法人のお客さまに起こりがちな状況

テレワークの開始後、PCなどの端末や、オンラインを中心として業務を進行するための各種ツール・サービスのセキュリティ対策に不安がある企業が多いのではないでしょうか?

特にセキュリティ担当/情シス担当や経営者は、自社の業務進行に直接的にかかわってくる部分であるため心配になるのは当然です。

こうした状況に対応するためか、総務省は令和2年9月11日に「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)」を発行しました。

この手引きには、どのようなテレワーク方式の場合に、どのようなチェックを行うべきか、が体系的に示されています。

今回は日々の業務で忙しい方に向けて、現状のチェックをどう行い、この資料をどう活用すべきかについてお伝えいたします。

手引きにはテレワークの方式ごとに解説とチェックリストあり

「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)」(以下「手引き」)は、本冊である「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」と、よく利用される製品を対象とした分冊の「設定解説資料」で構成されています。

手引きは2部構成となっています。

第1部はいくつかある「テレワーク方式」の説明と解説を行うパートです。

ここでまず自社のテレワーク環境の確認と、想定されるリスクとを正確に把握できます。

自社の「テレワーク方式」を確認するためのフローチャートなどもあるので、手順を追っていけば把握は難しくありません。

目次の大項目はこのようになっています。

  • 1-1:はじめに
  • 1-2:テレワーク方式の確認
  • 1-3:テレワーク方式の解説
  • 1-4:テレワーク環境で想定される脅威の解説

第2部では、テレワーク方式ごとに設けられたセキュリティチェック項目と、設定例などを解説するパートです。

ここではチェックリストを用いて自社の対策状況を確認できます。

さらに「2-2:セキュリティ対策チェックリストの設定例一覧」では、テレワークでよく使われるサービスについて具体的な設定例を挙げています。

「Cisco WebEx Meeting」、「Microsoft Teams」、「Zoom」といった、当手引き対象のサービスを利用している企業は、一度目を通しておくべきと言えます。

目次の大項目はこのようになっています。

  • 2-1:テレワーク方式ごとのセキュリティ対策チェックリスト
  • 2-2:セキュリティ対策チェックリストの設定例一覧
  • 2-3:テレワーク環境のセキュリティ対策と想定脅威一覧

なお、手引きの2ページ目に目次とQ&Aが併記されており、Q&Aの内容に対応した確認項目を出しているので、必要なパートと流れを簡単に読み取ることができます。

例:まず何から始めればよいか知りたい。また、チェックリストを手早く確認したい。
1-2を読んで自社のテレワーク方式確認
2-1を読んでチェックリストを確認し対策状況を把握

想定読者像は中小企業のセキュリティ担当を意識

手引きの想定読者は主に中小企業のセキュリティ担当を意識しています。

具体的な置かれている環境としては、以下の通りです。

  • セキュリティ予算の考え方
    外部委託コストのねん出が難しい
  • セキュリティ推進体制
    専任担当が存在しない
  • セキュリティリテラシ
    「適切に……」「レベルに応じて……」等の読者に解釈をゆだねるような抽象的な要求だけでは、対応すべき内容がわからない
  • IT リテラシ
    VPN・フィルタリング・アンチウイルス等の基本的な IT 用語は聞いたことがあり、利用シーンがイメージできるレベル
    システム設定作業は、基本的な内容であれば、インターネット検索によって調べながら行うことができる

「コストのねん出が難しい」「専任担当が存在しない」などは、多くの中小企業のセキュリティ担当者が当てはまり、かつ悩んでいる部分ではないでしょうか?

このように、この手引きでは理想論を掲げるわけではなく、地に足の着いた対策を推し進める総務省としての意識を感じることができます。

自社のテレワークセキュリティについてのチェックと対策を行うための手順

1番需要として大きいであろう「テレワークセキュリティについてのチェック」の流れとしては、以下の順序で行うのが良さそうです。

1.自社のテレワーク方式がどれに当てはまるかの確認

「1-2:テレワーク方式の確認」を参照し、フローチャートを基に自社のテレワーク方式がどれにあたるのかを確認してください。

企業によっては複数のテレワーク方式を採用しているケースも存在しますが、その場合も無理にどれかの方式に統合しようとはせず「複数の方式」として把握しておきましょう。

2.方式ごとに作られたチェックリストを参照して対応状況のチェック

把握した方式ごとに「2-1:テレワーク方式ごとのセキュリティ対策チェックリスト」を参照し、自社が各項目を対応できているかどうかチェックしてください。

方式ごとにチェックリストが分かれており、その中でも優先度が分かれているのがポイントです。

3.未対応項目の対策として何を行うべきかの確認

未対応項目が判明したら、自社の運用と照らし合わせ「2-1:テレワーク方式ごとのセキュリティ対策チェックリスト」にある対策内容を満たすアクションを検討してください。

一部のサービスについては「2-2:セキュリティ対策チェックリストの設定例一覧」を参照し、設定周りのセキュリティ強化に努めてもらうのも、セキュリティレベルを高めるアクションとなります。

未対応項目に対する対策の優先順位は、セキュリティ重要度と実施難易度によってマッピングを行い、以下の観点で振り分けて決めていきましょう。

<分類軸>

  • セキュリティ重要度
    対策実施による効果の高さ
  • 実施難易度
    高い:専門的な知識が必要とされ、実装難易度が高かったり、追加コストが非常にかかったりする
    高くない:ITセキュリティに関する知識が必要ではあるが、実装困難ではない
    低い:必要とされる専門的な知識や追加コストなどの懸念が小さい

<対応優先度>

  • 最優先項目
    セキュリティ重要性が高い×実施難易度が低いもの
  • 優先項目
    セキュリティ重要度が高い×実施難易度が高くないもの
    セキュリティ重要度が中程度×対策難易度が低い

最優先項目と優先項目については、チェックリスト上で既に分類されているので、まずはいったんすべてに目を通すのが良さそうです。

チェックリストの対象範囲

手引きにあるチェックリストは全領域をカバーしているわけではありません。

「テレワークセキュリティの手引き」とある通り、テレワーク時に重点的に確認しておかなければならない場所に限定されています。

主に次のような領域です。

  • VPN機器などの社内ネットワークと外部ネットワークをつなぐ部分
  • テレワークを実施する環境(主に従業員の自宅を想定)など
  • クラウドサービス

チェックリストは社内で利用するシステムなどを対象としていないため、こちらについては別の観点での確認が必要となります。

手引きのカバー範囲を正しく認識し、他の領域についてもきちんと整備しておくよう留意してください。

テレワーク方式の分類パターン

今回の手引きでは、端末2パターンと接続方式2パターンでテレワーク方式を8種類に分類しています。

簡単に内容を紹介していきます。

<端末>

利用する端末で大きく以下2つに分類されています。

  • 従業員所有端末
    いわゆるプライベートPCと呼ばれるものです。中小企業の実態としてテレワーク用の端末を支給することが難しく、従業員の私用端末を利用せざるを得ないケースが想定されています。
  • 会社支給端末
    いわゆる貸与PCです。
    会社の資産であるため制御することが比較的たやすく、セキュリティ面での統率がしやすい特徴があります。

<接続方式>

  • VPN/リモートデスクトップ方式
    端末からセキュリティレベルの高い暗号化通信を行い社内データにアクセスしたり、事業所に置かれた端末にアクセスしたりして、直接その端末を操作する方式です。
    基本的にデータは作業者の手元にある端末へと保存することが可能です。
  • セキュアブラウザ方式
    社内システムやクラウドサービスのデータを閲覧する際に、手元にデータを保存できないようにされた専用のソフトウェアを使用する方式です。
    ソフトウェアによってはスクリーンショットやテキストのコピーなどを制限するものもあります。
  • 会社非接続方式(クラウドサービス型)
    従来はPCや社内サーバに置いてあったデータをクラウドサーバに保持してアクセスできるようにするなど、インターネットを介して利用できるようにする方式です。
    メールやチャット、メッセンジャーツール、ファイル共有サービスなども含みます。
  • 会社非接続方式(手元操作型)
    テレワーク時に社内サーバへのアクセスを使用するのではなく、事前に全てデータを手元の端末に落としたうえで作業する方式です。
    テレワーク端末がネットワーク接続をしていない場合でも、該当データにアクセスできる状態があれば本方式になっていると考えることができます。

複数の方式を利用している場合は方式ごとにチェック

企業によっては複数の事業所があったり、部門によって必要な環境が異なっていたりするケースがあります。

こうした状況によって、事業所や部門、役職により複数の方式が利用されていることもあるでしょう。

その場合はまず、自社がどの方式を使っているのかを洗い出し、方式ごとにチェックリストで対応状況をチェックしておく必要があります。

また、一人の社員であっても複数の方式を切り替えながら作業している場合も中にはありそうです。

セキュリティ担当としては、社員ごとの使い方にも着目していかなければならず、非常に対応コストがかかってしまうところではありますが、セキュリティレベルの維持のためにもきちんとヒアリングを行うべきと言えます。

手引きの対応と併せて通常の情報セキュリティ対策も

手引きに記載しているのはあくまでもテレワーク時に追加で必要となるセキュリティチェックであり、通常の情報セキュリティ対策は別途行う必要があります。

原則は基本的な情報セキュリティ対策を行ったうえでテレワーク時のセキュリティ対策に足りない部分を手引きで洗い出し対策を施すのが、正しい在り方です。

端末のエンドポイントセキュリティは大丈夫か、サーバの不正アクセス対策は十分か、社員教育は問題ないかなど、セキュリティ担当として抜け漏れのないセキュリティ対策ができているか、今一度確認してみてはいかがでしょうか。

トレンドマイクロからのアドバイス

テレワーク時のセキュリティ体制を整えるには、まずは端末の保護、さらにはゼロトラストの考え方で接続される各種アプリケーションやサーバに対するセキュリティ対策も必要です。

トレンドマイクロでは、現時点で不足しているポイントに対して効果的な対策を行えるさまざまなソリューションをご用意しています。

自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

VBBSS:ウイルス・スパイウェア対策からデバイスコントロールまでオールインワン

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は、中小企業・中堅企業に求められるセキュリティ機能をオールインワンで持ち合わせ、さらに管理者の負担を軽減できる「軽くて・強くて+管理負担が少ない」セキュリティ製品です。

クラウドのサービスですので、自宅で端末を利用しても、会社にいるときと同じレベルのセキュリティ対策が可能です。

Trend Micro Cloud One - Workload Security™:パフォーマンスを損なわずにDC、クラウド、 コンテナ保護

Trend Micro Cloud One - Workload Security™(Cloud One - Workload Security)は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security(CAS)はランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラムも検出できるメール・コラボレーションセキュリティ製品です。

※すべての未知の脅威に対応するものではありません

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り