Windows11 Proの詳細を御覧ください
Windows11 Proの詳細を御覧ください
キャンペーン キャンペーン

テレワークに必要なセキュリティ対策とは?必要事項を網羅的に解説

テレワークには対応すべきセキュリティ対策の項目が多数存在します。 

今回は、テレワークに必要なセキュリティ対策について網羅的に解説していきます。 

目次

急激なIT環境の変化で増えるセキュリティインシデント

攻撃者は急速に進むテレワークにおけるセキュリティの穴を巧みに突いてきます。

一般社団法人JPCERTコーディネーションセンターが公表したインシデント報告対応レポートでは、20204月~6月のセキュリティインシデント報告件数は10,416で、20201月~3月の6,510から約60%も増加しています。その後7月~9月は13,83110月~12月は13,006と、年末になっても依然として増加の状態を維持し、20201月~3月と比較するとセキュリティインシデントは2倍近くの件数に達しているのです 

参考:JPCERTコーディネーションセンター(https://www.jpcert.or.jp/ir/report.html

テレワークに必要なセキュリティ対策

20215月に総務省が第5版を発行した「テレワークセキュリティガイドライン」によると、テレワークに必要なセキュリティ対策は以下の通りです。 

対策分類 

説明 

ガバナンス・リスク管理 

テレワークの実施に当たってのリスクマネジメントや、情報セキュリティ関連規程(ルール)の整備等に関する対策 

資産・構成管理 

テレワークで利用する情報資産の洗い出しと管理についての対策 

脆弱性管理 

ソフトウェア最新化等による脆弱性への対策 

特権管理 

特権アカウントの利用制限等による不正アクセスなどへの対策 

データ保護 

保護すべき情報(データ)の特定や保存されているデータの機密性・可用性の確保に関する対策 

マルウェア対策 

マルウェアの感染防止や検出、テレワークに使用するパソコンなどへのサイバー攻撃に関する対策 

通信の保護・暗号化 

通信中におけるデータの機密性や可用性の確保に関する対策 

アカウント・認証管理 

自社のネットワークにアクセスするためのアカウント管理や認証手法に関する対策 

アクセス制御・認可 

システムへのアクセスを、最小限かつ正当な権限を有する者のみとすることによる対策 

インシデント対応・ログ管理 

サイバー攻撃などへの対応と、ログによるセキュリティ関連事項の調査等による対策 

物理的セキュリティ 

物理的な手段による情報漏えい等からの保護に関する対策 

脅威インテリジェンス 

脅威動向、攻撃手法、脆弱性等に関する情報の収集に関する対策 

教育 

テレワーク勤務者のセキュリティへの理解と意識の向上に関する対策 

出典:総務省テレワークセキュリティガイドライン5https://www.soumu.go.jp/main_content/000752925.pdf 

ガバナンス・リスク管理

情報セキュリティ関連規程

企業等においてセキュリティ対策を行う上で、最も基本となるルールが「情報セキュリティ関連規程」です。「情報セキュリティに関する方針や行動指針」をまとめた文書であり、これを作ることで組織として統一のとれたセキュリティレベルを確保できます。 

クラウドサービス利用ルール策定

近年、クラウドサービスの利用が多くの分野で進んでいることに伴い、クラウドサービスにおける情報漏えい等の事例も多く報告されています。自組織内におけるクラウドサービスの利用について、ルールを定めることが重要です。 

資産・構成管理

資産台帳の整備

台帳を整備し、自社が所有する資産に関する情報を常に最新化する必要があります。 

情報資産の管理

テレワークで使用しているパソコンに導入されているアプリケーションを把握し、管理していないアプリケーションやクラウドの利用がないようにします。 

脆弱性管理

最新のセキュリティ修正プログラム適用

OSやアプリケーションに対して最新のセキュリティ修正を適用することによる、サイバー攻撃などへの対策が必要です。 

OS改造の禁止

OSの改造(Jailbreakroot化)を実施するとセキュリティ機能低下や、不正プログラムへの感染を助長するため、禁止することが必須です。 

特権管理

管理者権限の制限

管理者権限の利用者は最低限とし、IPアドレス制限等により限られた環境からしか使えないように設定するなどの対策が必要です。 

Active Directory

テレワーク端末で利用するユーザには、User権限を設定して、利用を制限しましょう。 

データ保護

情報の分類と取扱方針

情報資産を3つ程度(例えば「機密情報」「業務情報」「公開情報」等)に分類し、分類ごとに取扱方針を定めます。 

記録媒体の暗号化・廃棄

テレワーク端末やUSBメモリ等に業務データを保存する場合は、記録媒体レベルでの暗号化を実施し、適切な手順でテレワーク端末などの廃棄を実施しましょう。 

バックアップの保管

オフィスネットワーク上の共有フォルダ等にバックアップを保管し、さらにランサムウェアの感染等のリスクに備えるため、ネットワークに接続しない記録媒体やクラウドサービス等にも保管しましょう。

MDMの導入

MDMの導入などで、遠隔からテレワーク端末上のデータなどの削除・端末初期化をできるようにしておくことが重要です。 

マルウェア対策

セキュリティ対策ソフト等の導入

セキュリティ対策ソフトを導入し、適切な設定のもとで情報機器を運用しましょう。危険なWebサイト等へのアクセスを禁止するフィルタリングについても同様に実施することが必須です。 

EDRの導入

EDRを導入することで、未知のマルウェアを含めた不審な挙動の検知や、検知した情報に基づく迅速な対応ができます。 

一元管理機能の導入

複数台の端末を一元管理して、定義ファイルの更新漏れを回避しましょう。

通信の保護・暗号化

暗号化の必要性

情報の盗聴を防ぐために通信経路を暗号化することが必須です。 

無線LANのセキュリティ確保

Wi-Fi機器の適切な運用や業務ネットワークとの分離などが必要です。 

偽サイトへの誘導回避

正規のサイトを真似たサイトへの誘導にかからないように、情報正しいことを確認した上で利用しましょう。 

可用性の確保

多数のテレワーク勤務者が一斉にテレワークを使用しても可用性を確保できるようにシステムを設計しましょう。業務上、同時アクセスが集中する時間帯や、一時的に大量のデータが流れるアプリケーションの利用などを考慮した設計や回避策が必要です。 

アカウント・認証管理

適切な管理ルールの設定

多要素認証方式や電子証明書の利用などの技術的基準やパスワードポリシーを明確に定め、適正に管理・運用します。 

パスワードの設定

パスワードには第三者が推測しにくいものを設定しましょう。 

多要素認証

可能な限り多要素認証を使うようにし、不正アクセスの可能性を極力排除します。 

相互認証

偽サイト・偽サービスへの誤誘導を回避するためには、利用者側(接続元)から見て提供者が正しい提供者であるかを確認するため、相互認証を行います。 

アクセス制御・認可

必要最小限のアクセス開放・アクセス権限

不正アクセスを防止するために、ファイアウォールによるアクセス制御、接続IPアドレス制限、不要ポート閉鎖などが必須です。 

オンライン会議システム

会議参加者の本人確認の実施をはじめ、会議パスワード設定、待機室(ロビー)での参加者確認、参加者の事前登録、参加者名の設定、などで不正なアクセスを防止しましょう。 

データに対する動的なアクセス制御

テレワーク勤務者に応じて動的にアクセスをコントロールできるようなデータに対するアクセス基準を検討します。 

ローカルブレイクアウトの考慮

自社のネットワークを通さずにインターネットと通信するローカルブレイクアウトは、通信の負荷分散について大きな効果を発揮します。クラウドプロキシなどで自社のネットワークと同等のセキュリティ対策をしたで実施しましょう。 

インシデント対応・ログ管理

セキュリティインシデントへの迅速な対応

セキュリティインシデント発生時に迅速かつ的確な対応を実施するためには、平時のうちにインシデント対応計画や各種手順を整備しましょう。

セキュリティインシデント収束後の対応

セキュリティインシデントは、ウイルスの削除などの暫定対処だけで完了させず、再発防止のため事故原因を丁寧に分析しましょう。 

インシデント対応訓練の実施

不測の事態における対応手順などの妥当性をチェックするために訓練を実施して、適宜見直しをしていくことが必須です。 

ログの取得・保存

次のような各種ログを取得・保存しましょう。 

  • アクセスログ(サーバや機器へ誰がいつアクセスしたかという履歴) 
  • 認証ログ(各システムやアプリケーションへのログイン試行履歴) 
  • 操作ログ(利用者の操作内容履歴) 
  • イベントログ(システム上の重要な(又は異常な)事象の発生履歴) 
  • 特権ログ(管理者権限等の特権IDに関する各種ログ) 

ログの確認

アクセスログの拒否ログや、管理者権限等の特権IDに対するログイン失敗の履歴を定期的に確認しましょう。 

物理的セキュリティ

周囲環境への注意

カフェや電車の中など、周囲に人がいる状況では、情報を盗み見られないように注意が必要です。通話の際にも、職務に関する情報を話さないようにするなど配慮しましょう。

オンライン会議での声や画面

特に周囲に人がいる状況でオンライン会議を実施する場合、音声や画面が漏れないように配慮しましょう。 

脅威インテリジェンス

脅威動向・脆弱性情報の収集

セキュリティに関する脅威動向・脆弱性情報は定期的に収集し、自組織のセキュリティ対策に反映していきましょう。 

セキュリティコミュニティへの所属

業界団体や地域のコミュニティに加入して情報共有することで、実態に即した最新の情報が把握できます。 

教育

研修等の実施

テレワーク勤務者のセキュリティ対応能力を向上させるために、定期的にテレワークに関するセキュリティ研修を実施していく必要があります。

セキュリティ情報に関する注意喚起

教育・啓発活動は単発で終わらせず、継続して実施していくことで効果が現れてきます。自社内のポータルサイトやメールなどで注意喚起を継続していきましょう。 

セキュリティ対策状況の確認

テレワーク勤務者のセキュリティ対策の遵守状況については、月1回など定期的にチェックリストなどでチェックし、不備があれば見直しをしていくことが重要です。 

チェックリストは、同じく総務省から発行されている「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」がありますので、必要に応じて活用しましょう。 

まとめ

急速に普及するテレワークの脆弱点を攻撃者は的確に突いてきます。しかし、必要なセキュリティ対策を網羅的に実施しておけば、サイバー攻撃のセキュリティリスクを低減できます。 

実施するべき対策を確実に実施し、テレワークにおけるセキュリティリスクを極小化していきましょう。

類似記事

購入のご相談・各種お問い合わせ

こちらは法人様向け購入のご相談・サポートのお問い合わせ窓口です。「パソコンのスペックと言われてもピンとこない」「このアプリを動かしたいんだけど」「こんなスペック・構成のパソコンがほしい」「わたしの業務にぴったりのモデルは?」
ご購入後に「購入したけどこんなことに困っている」・・などなど、お見積の作成はもちろん、製品や仕様のご相談、各種ソリューションサービスに対するご質問などなんでもお気軽にお問い合わせください。
※ご購入の前後でお問合せ連絡窓口が異なりますのでご注意ください

購入・お見積等のご相談

お急ぎの方、直接相談したい方

03-5294-2041

受付時間:平日9:00-18:00
FAX:03-3256-2532

sales_hq@twave.co.jp
その他のご相談方法はこちら

購入後のご相談

サポートのご相談、修理のご依頼

0120-892-324

受付時間:24時間 365日対応

お問い合わせフォーム














お問い合わせ 見積り履歴