この記事をご覧になられている方はきっとテレワークに興味があって読まれていると思います。
弊社は、テレワークによる働き方が広く浸透し、全社員がテレワークで快適に働けるような体制が整っています。
社内外でチャットやビデオ会議などのオンラインコミュニケーションツールをフル活用して、インターネットなどの通信環境が整っていれば、基本的にフレキシブルな働き方が実現できます。
ここまでテレワークが浸透してしまうと、コロナ以前はどんな働き方だったかな?などと思うこともありますね。
最新版テレワークセキュリティガイドラインが公開
総務省はテレワークセキュリティガイドライン(第5版)を2021年5月31日に公表しました。
総務省では「テレワークセキュリティガイドライン」を以前から策定しており、セキュリティ対策の考え⽅を⽰してきました。
新型コロナウイルスが蔓延する前に策定されたセキュリティガイドラインは第4版となりますが、今回は企業等がテレワークを取り巻く環境やセキュリティ動向の変化に対応するため、そして安心してテレワークを導入・活用いただくための指針として2021年5⽉に全⾯的に改定されました。
最新版 第5版 2021年5月
※出典:総務省 テレワークセキュリティガイドライン
想定読者
テレワークに関連のある方々全員が役に立つようなガイドラインとなっています。
経営者・システム、セキュリティ管理者、テレワーク勤務者など、テレワークを導入しようとしている、または、導入済みの全ての企業等を幅広く対象としています。
企業等に所属しない個人事業主等の立場でテレワークをされている方も含みます。
テレワークセキュリティガイドラインで役に立つこととは?
第1位 導入するテレワーク方式の検討
第2位 社内規定などのルール整備の検討
第3位 具体的なセキュリティ対策の検討
※出典:総務省 テレワークセキュリティに関する1次実態調査
テレワークの方式
テレワークセキュリティガイドラインでは、現代のテレワーク方式として7つの方式に分類されています。
①VPN方式
テレワーク端末からオフィスネットワークに対してVPN接続を行い、そのVPNを介してオフィスのサーバ等に接続し業務を行う方法
②リモートデスクトップ方式
テレワーク端末からオフィスに設置された端末(PC等)のデスクトップ環境に接続を行い、そのデスクトップ環境を遠隔操作し業務を行う方法
③仮想デスクトップ(VDI)方式
テレワーク端末から仮想デスクトップ基盤上のデスクトップ環境に接続を行い、そのデスクトップ環境を遠隔操作し業務を行う方法
④セキュアコンテナ方式
テレワーク端末にローカル環境とは独立したセキュアコンテナという仮想的な環境を設け、その環境内でアプリケーションを動かし業務を行う方法
⑤セキュアブラウザ方式
テレワーク端末からセキュアブラウザと呼ばれる特殊なインターネットブラウザを利用し、オフィスのシステム等にアクセスし業務を行う方法
⑥クラウドサービス方式
オフィスネットワークに接続せず、テレワーク端末からインターネット上のクラウドサービスに直接接続し業務を行う方法
⑦スタンドアロン方式
オフィスネットワークには接続せず、あらかじめテレワーク端末や外部記録媒体に必要なデータを保存しておき、その保存データを使い業務を行う方法
※引用:総務省 テレワークセキュリティガイドライン
実際にはどれか1つの方式だけ採用しているのではなく、例えば、①VPN方式と③VDI方式を組み合わせて利用しているパターンもあります。各方式の詳細解説がセキュリティガイドラインに掲載されているので是非ご確認ください。
テレワーク方式の名称変更
テレワーク方式にも第4版からの変更点があります。主に名称変更が中心です。
記載例 第4版のテレワーク方式 → 第5版のテレワーク方式
- 会社PCの持ち帰り方式 → VPN方式
- リモートデスクトップ方式 ※変更なし
- 仮想デスクトップ方式 → 仮想デスクトップ(VDI)方式
- アプリケーションラッピング方式 → セキュアコンテナ方式
- セキュアブラウザ方式 ※変更なし
- クラウド型アプリ方式 → クラウドサービス方式
- 会社PCの持ち帰り方式 → スタンドアロン方式
テレワーク方式のフローチャート
テレワーク方式を決める場合のフローチャートも記載があります。
※出典:総務省 テレワークセキュリティガイドライン
これまで一般的には①のVPN方式が過去から浸透してきていましたが、最近では様々な方式が広がってきていて、テレワークする方式は多角化しています。
フローチャートは参考になりますが、実際の働き方に合わせた方法の検討が必要と考えられます。
テレワーク方式比較
S:効果や影響が標準よりも相対的に優れている
A:効果や影響が標準よりも相対的にやや優れている
B:効果や影響が標準的である
C:効果や影響が標準よりも相対的にやや劣っている
D:効果や影響が標準よりも相対的に劣っている
注記:評価に当たり、各テレワーク方式は一般的な構成を想定しています。そのため、使用する製品やサービス、具体的なシステム構築方法や構築規模によっては、評価が前後する場合があります。
※出典:総務省 テレワークセキュリティガイドライン
各テレワーク方式の特性が公開されており、非常に参考となります。
テレワーク時の端末の持ち出し対策
テレワーク時に端末にデータが保存できる方式の場合、端末持ち出しに対する考慮が必要になります。
その時の考慮点と対策についてもガイドラインでは下記の記載があります。
テレワーク端末でデータ処理を行う必要があることから、テレワーク端末へのデータ保存の制限が困難です。
そのため、情報の持ち出しのリスクや端末の紛失・盗難等による情報漏えいのリスクへの対応が必要となります。
テレワーク端末上にデータの保存が可能であるため、端末の紛失や盗難による情報漏えいリスクがあります。
そのため、テレワーク端末の内蔵記録装置(HDD・SSD等)の暗号化やデータの遠隔消去等の対策が重要となります。
※引用:テレワークセキュリティガイドライン
テレワーク時の端末の廃棄
テレワーク端末を廃棄するときのガイドラインも公開されております。
具体的には、テレワーク端末を廃棄する場合は、内蔵されるHDDやSSDについて、データ消去専用ソフトウェアの使用や物理破壊等を行い、データが完全に復元不可能な状態とする必要があります。
テレワーク端末等の廃棄が適切でないと、悪意ある第三者にテレワーク端末上の情報が窃取されるおそれがあります。
これを防ぐために、適切な手順でテレワーク端末等の廃棄を実施することが重要です。
なお、通常のフォーマットや初期化をしただけでは、専門技術により復元可能であることに注意してください。
※引用:テレワークセキュリティガイドライン
情報機器の廃棄についての詳細は、総務省地方自治体セキュリティガイドラインの情報機器の廃棄でも詳しく述べられています。
実際の運用中だけでなく、端末の廃棄までを考慮することが求められている証拠です。
弊社のサイトでも情報機器の廃棄について特設サイトを開設しています。
是非ご参照下さい。
まとめ
ここまでテレワークセキュリティガイドラインについて簡単にご紹介しました。
コロナ禍の状況での考え方についてまとめられており、どんな方でも役に立つ内容になっています。
総務省のサイトから入手することが可能ですので、こちらからダウンロードしてみてください。
=テレワークセキュリティガイドライン======
テレワークセキュリティガイドライン 表紙画像 企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用いただくための指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」を策定・公表しています。
============================
セキュリティの専任担当がいないような中小企業等におけるシステム管理担当者(専門用語について仕組みの詳細まではわからないが、利用シーンがイメージできるレベルの方)を対象として、テレワークを実施する際に最低限のセキュリティを確実に確保してもらうための手引き(チェックリスト)等を作成・公表しています。
中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)
実際にこの中小企業等担当者向けテレワークセキュリティの手引きを確認してみると、テレワークセキュリティガイドラインよりも見やすくまとまっており、非常によくできています。
大企業のITシステムをご担当の方でも、まずはチェックリストを見るだけで大枠の対策について理解が深まると思います。 ぜひ両方のガイドラインをダウンロードしてご確認頂くことをおすすめします。中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)
ワンビはテレワーク端末持ち出し時の情報漏えい対策や、PCの廃棄時に対する復元が困難な状態とする消去やデータ消去証明書に対応しています。
持ち出し端末に対する盗難・紛失時の情報漏えい対策と併せて、ご興味がございましたら是非お問い合わせください。