テレワークに必要なセキュリティ対策とは？必要事項を網羅的に解説

テレワークには対応すべきセキュリティ対策の項目が多数存在します。 

今回は、テレワークに必要なセキュリティ対策について網羅的に解説していきます。 

攻撃者は、急速に進むテレワークにおけるセキュリティの穴を巧みに突いてきます。

一般社団法人JPCERTコーディネーションセンターが公表したインシデント報告対応レポートでは、2020年4月～6月のセキュリティインシデント報告件数は10,416件で、2020年1月～3月の6,510件から約60％も増加しています。その後7月～9月は13,831件、10月～12月は13,006件と、年末になっても依然として増加の状態を維持し、2020年1月～3月と比較するとセキュリティインシデントは2倍近くの件数に達しているのです。 

参考：JPCERTコーディネーションセンター（https://www.jpcert.or.jp/ir/report.html）

2021年5月に総務省が第5版を発行した「テレワークセキュリティガイドライン」によると、テレワークに必要なセキュリティ対策は以下の通りです。 

出典：総務省｜テレワークセキュリティガイドライン第5版（https://www.soumu.go.jp/main_content/000752925.pdf） 

企業等においてセキュリティ対策を行う上で、最も基本となるルールが「情報セキュリティ関連規程」です。「情報セキュリティに関する方針や行動指針」をまとめた文書であり、これを作ることで組織として統一のとれたセキュリティレベルを確保できます。 

近年、クラウドサービスの利用が多くの分野で進んでいることに伴い、クラウドサービスにおける情報漏えい等の事例も多く報告されています。自組織内におけるクラウドサービスの利用について、ルールを定めることが重要です。 

台帳を整備し、自社が所有する資産に関する情報を常に最新化する必要があります。 

テレワークで使用しているパソコンに導入されているアプリケーションを把握し、管理していないアプリケーションやクラウドの利用がないようにします。 

OSやアプリケーションに対して最新のセキュリティ修正を適用することによる、サイバー攻撃などへの対策が必要です。 

OSの改造（Jailbreakやroot化）を実施するとセキュリティ機能低下や、不正プログラムへの感染を助長するため、禁止することが必須です。 

管理者権限の利用者は最低限とし、IPアドレス制限等により限られた環境からしか使えないように設定するなどの対策が必要です。 

テレワーク端末で利用するユーザには、User権限を設定して、利用を制限しましょう。 

情報資産を３つ程度（例えば「機密情報」「業務情報」「公開情報」等）に分類し、分類ごとに取扱方針を定めます。 

テレワーク端末やUSBメモリ等に業務データを保存する場合は、記録媒体レベルでの暗号化を実施し、適切な手順でテレワーク端末などの廃棄を実施しましょう。 

オフィスネットワーク上の共有フォルダ等にバックアップを保管し、さらにランサムウェアの感染等のリスクに備えるため、ネットワークに接続しない記録媒体やクラウドサービス等にも保管しましょう。

MDMの導入などで、遠隔からテレワーク端末上のデータなどの削除・端末初期化をできるようにしておくことが重要です。 

セキュリティ対策ソフトを導入し、適切な設定のもとで情報機器を運用しましょう。危険なWebサイト等へのアクセスを禁止するフィルタリングについても同様に実施することが必須です。 

EDRを導入することで、未知のマルウェアを含めた不審な挙動の検知や、検知した情報に基づく迅速な対応ができます。 

複数台の端末を一元管理して、定義ファイルの更新漏れを回避しましょう。

情報の盗聴を防ぐために通信経路を暗号化することが必須です。 

Wi-Fi機器の適切な運用や業務ネットワークとの分離などが必要です。 

正規のサイトを真似たサイトへの誘導にかからないように、情報が正しいことを確認した上で利用しましょう。 

多数のテレワーク勤務者が一斉にテレワークを使用しても可用性を確保できるようにシステムを設計しましょう。業務上、同時アクセスが集中する時間帯や、一時的に大量のデータが流れるアプリケーションの利用などを考慮した設計や回避策が必要です。 

多要素認証方式や電子証明書の利用などの技術的基準やパスワードポリシーを明確に定め、適正に管理・運用します。 

パスワードには第三者が推測しにくいものを設定しましょう。 

可能な限り多要素認証を使うようにし、不正アクセスの可能性を極力排除します。 

偽サイト・偽サービスへの誤誘導を回避するためには、利用者側（接続元）から見て提供者が正しい提供者であるかを確認するため、相互認証を行います。 

不正アクセスを防止するために、ファイアウォールによるアクセス制御、接続IPアドレス制限、不要ポート閉鎖などが必須です。 

会議参加者の本人確認の実施をはじめ、会議パスワード設定、待機室（ロビー）での参加者確認、参加者の事前登録、参加者名の設定、などで不正なアクセスを防止しましょう。 

テレワーク勤務者に応じて動的にアクセスをコントロールできるようなデータに対するアクセス基準を検討します。 

自社のネットワークを通さずにインターネットと通信するローカルブレイクアウトは、通信の負荷分散について大きな効果を発揮します。クラウドプロキシなどで自社のネットワークと同等のセキュリティ対策をした上で実施しましょう。 

セキュリティインシデント発生時に迅速かつ的確な対応を実施するためには、平時のうちにインシデント対応計画や各種手順を整備しましょう。

セキュリティインシデントは、ウイルスの削除などの暫定対処だけで完了させず、再発防止のために事故原因を丁寧に分析しましょう。 

不測の事態における対応手順などの妥当性をチェックするために訓練を実施して、適宜見直しをしていくことが必須です。 

次のような各種ログを取得・保存しましょう。 

• アクセスログ（サーバや機器へ誰がいつアクセスしたかという履歴） 
• 認証ログ（各システムやアプリケーションへのログイン試行履歴） 
• 操作ログ（利用者の操作内容履歴） 
• イベントログ（システム上の重要な（又は異常な）事象の発生履歴） 
• 特権ログ（管理者権限等の特権IDに関する各種ログ） 

アクセスログの拒否ログや、管理者権限等の特権IDに対するログイン失敗の履歴を定期的に確認しましょう。 

カフェや電車の中など、周囲に人がいる状況では、情報を盗み見られないように注意が必要です。通話の際にも、職務に関する情報を話さないようにするなど配慮しましょう。

特に周囲に人がいる状況でオンライン会議を実施する場合、音声や画面が漏れないように配慮しましょう。 

セキュリティに関する脅威動向・脆弱性情報は定期的に収集し、自組織のセキュリティ対策に反映していきましょう。 

業界団体や地域のコミュニティに加入して情報共有することで、実態に即した最新の情報が把握できます。 

テレワーク勤務者のセキュリティ対応能力を向上させるために、定期的にテレワークに関するセキュリティ研修を実施していく必要があります。

教育・啓発活動は単発で終わらせず、継続して実施していくことで効果が現れてきます。自社内のポータルサイトやメールなどで注意喚起を継続していきましょう。 

テレワーク勤務者のセキュリティ対策の遵守状況については、月1回など定期的にチェックリストなどでチェックし、不備があれば見直しをしていくことが重要です。 

チェックリストは、同じく総務省から発行されている「中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）」がありますので、必要に応じて活用しましょう。 

急速に普及するテレワークの脆弱点を攻撃者は的確に突いてきます。しかし、必要なセキュリティ対策を網羅的に実施しておけば、サイバー攻撃のセキュリティリスクを低減できます。 

実施するべき対策を確実に実施し、テレワークにおけるセキュリティリスクを極小化していきましょう。