総務省では、従来から「テレワークセキュリティガイドライン」を策定し、テレワークに関するセキュリティ対策の考え方を示してきました。テレワークを取り巻く環境やセキュリティ動向が大きく変化していることに対応し、2021年5月、全面的に改訂した「テレワークセキュリティガイドライン第5版」が公開されています。国が示したセキュリティの指針を参考にし、多要素認証(MFA)を導入する動きが加速しています。
今回の改定は2018年4月以来で、COVID-19や緊急事態宣言発令の影響で2020年から急遽テレワークの実施に踏み切った企業が多いことから、こうした企業の悩みに対応するため、セキュリティ対策の指針を改めて全面的に見直しているのが特徴です。
テレワークは「一部の従業員」が利用するものから、Web会議も含め、一般的な業務・勤務体系になってきています。クラウドサービスの普及やスマートフォン等の活用が進み、システム構成や利用形態が多様化しています。標的攻撃型等の高度な攻撃も増加し、従来のセキュリティ対策では十分対応できない状況も発生しています。
第2章の「テレワークにおいて検討すべきこと」の中では、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の役割を具体的に列挙し、適切に役割分担をすることが重要であると指摘しています。クラウドサービス利用上の考慮事項を追記し、サイバー攻撃の高度化に対応するため、注目されているゼロトラストセキュリティに関する項目を追加しています。
テレワーク方式の選定にもガイドラインが活用されていることがあり、第3章を「テレワーク方式の解説」として、独立・増強しています。テレワーク方式を7種類に再整理し、各方式について、基本的構成に加えて派生的な構成まで詳細に解説しています。実現しようとする業務内容等を踏まえ、それに適した方式を選定するフローチャートや、各方式の特性比較表を掲載しています。
第4章の「テレワークセキュリティ対策一覧」では、テレワーク利用の広まりや、サイバー攻撃の深刻化に対応するために、対策事項を全面的に見直しています。例えば、オンライン会議システムのセキュリティ対策や、VPN機器のファームウェアアップデート等を新たに追加しています。対策項目数は98項目となり、第4版と比べて倍増しています。また、対策分類は13個のカテゴリに細分化し、見通しを整理しています。
第5章の「テレワークセキュリティ対策の解説」では、第4章で明示した内容について、対策分類ごとに詳細に解説しています。また、トラブル事例の対策については、複数の対策が紐づく場合もあるため、章として独立させています。第6章の「テレワークにおけるトラブル事例と対策」がそれで、トラブル事例を具体的に紹介した上で、セキュリティ上留意すべき点や、本ガイドライン内のどの対策が有効であるかを解説しています。
テレワークを導入する際の企業の悩みや課題は、「急いでテレワーク環境を構築したが、十分なセキュリティ対策ができているか不安」「セキュリティを強化すれば、業務負担やコストが増加するのではないか」等、コストや業務負担増を抑えながら、どうすれば十分なセキュリティ対策が行えるかに集中しています。
こうした課題に対応している方法のひとつが、多要素認証(MFA)のソリューションです。これまでの認証をID/パスワードのみに頼るのではなく、アクセスごとにパスワードを使い切るワンタイムパスワード認証の導入や、指紋や顔などの生体認証を組み合わせた多要素認証を活用する動きが加速しています。
・ワンタイムパスワード(OTP)トークン
・BioPass FIDO2
パンデミックでテレワークが一気に普及
テレワークセキュリティガイドラインは、テレワークを業務に活用する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用するための指針です。中小企業を含む全企業を対象にしています。システム管理者のほか、経営層や利用者(勤務者)を幅広く対象にしています。今回の改定は2018年4月以来で、COVID-19や緊急事態宣言発令の影響で2020年から急遽テレワークの実施に踏み切った企業が多いことから、こうした企業の悩みに対応するため、セキュリティ対策の指針を改めて全面的に見直しているのが特徴です。
テレワークは「一部の従業員」が利用するものから、Web会議も含め、一般的な業務・勤務体系になってきています。クラウドサービスの普及やスマートフォン等の活用が進み、システム構成や利用形態が多様化しています。標的攻撃型等の高度な攻撃も増加し、従来のセキュリティ対策では十分対応できない状況も発生しています。
自然災害など緊急事態発生時にも有効なテレワーク
テレワークの背景や目的、テレワークの形態等を記載している第1章では、感染症対応をはじめとするテレワーク環境の変化を追加しました。テレワークのメリットとして、移動時間を有効に活用できるなどの業務の効率化や、従業員のワーク・ライフ・バランスの向上への貢献に加え、パンデミックや災害等の緊急事態発生時における企業の事業継続性の確保に貢献する手段としての役割を指摘しています。第2章の「テレワークにおいて検討すべきこと」の中では、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の役割を具体的に列挙し、適切に役割分担をすることが重要であると指摘しています。クラウドサービス利用上の考慮事項を追記し、サイバー攻撃の高度化に対応するため、注目されているゼロトラストセキュリティに関する項目を追加しています。
テレワーク方式の選定にもガイドラインが活用されていることがあり、第3章を「テレワーク方式の解説」として、独立・増強しています。テレワーク方式を7種類に再整理し、各方式について、基本的構成に加えて派生的な構成まで詳細に解説しています。実現しようとする業務内容等を踏まえ、それに適した方式を選定するフローチャートや、各方式の特性比較表を掲載しています。
第4章の「テレワークセキュリティ対策一覧」では、テレワーク利用の広まりや、サイバー攻撃の深刻化に対応するために、対策事項を全面的に見直しています。例えば、オンライン会議システムのセキュリティ対策や、VPN機器のファームウェアアップデート等を新たに追加しています。対策項目数は98項目となり、第4版と比べて倍増しています。また、対策分類は13個のカテゴリに細分化し、見通しを整理しています。
第5章の「テレワークセキュリティ対策の解説」では、第4章で明示した内容について、対策分類ごとに詳細に解説しています。また、トラブル事例の対策については、複数の対策が紐づく場合もあるため、章として独立させています。第6章の「テレワークにおけるトラブル事例と対策」がそれで、トラブル事例を具体的に紹介した上で、セキュリティ上留意すべき点や、本ガイドライン内のどの対策が有効であるかを解説しています。
多要素認証(MFA)でコストを抑え、セキュリティを強化
一方、ガイドラインを補完するものとして、セキュリティの専任担当者がいないような中小企業等においても、テレワークを実施する際に最低限のセキュリティを確実に確保してもらうためのチェックリストも策定しています。ガイドラインに記載の内容について、理解が難しい場合でも、最低限のセキュリティを確実に確保してもらうための手引書です。テレワークを導入する際の企業の悩みや課題は、「急いでテレワーク環境を構築したが、十分なセキュリティ対策ができているか不安」「セキュリティを強化すれば、業務負担やコストが増加するのではないか」等、コストや業務負担増を抑えながら、どうすれば十分なセキュリティ対策が行えるかに集中しています。
こうした課題に対応している方法のひとつが、多要素認証(MFA)のソリューションです。これまでの認証をID/パスワードのみに頼るのではなく、アクセスごとにパスワードを使い切るワンタイムパスワード認証の導入や、指紋や顔などの生体認証を組み合わせた多要素認証を活用する動きが加速しています。
・ワンタイムパスワード(OTP)トークン
・BioPass FIDO2
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Authenticatorアプリの代替機を使った多要素認証(MFA)
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて
●Amazon Web Services(AWS)MFAを必須化