ガイドラインの概要
総務省の「テレワークセキュリティガイドライン(第5版)」は、企業がテレワークを安全に導入・運用するための指針です。2004年の初版以降、5回の改定を重ね、2021年5月に公開された第5版ではクラウドサービスの活用やゼロトラストセキュリティの考え方が新たに追加されました。
テレワークを取り巻く環境の変化(クラウド普及、スマートフォン活用、サイバー攻撃の高度化)に対応し、全6章109ページにわたる包括的なガイドラインとなっています。
ガイドライン本体に加えて、中小企業向けの「手引き(チェックリスト)第3版」、従業員向けハンドブック、緊急時対応カード、各製品の設定解説資料も公開されています。すべて総務省のページから無料でダウンロードできます。
全体構成
| 章 | 内容 |
|---|---|
| 第1章 | ガイドラインの背景・目的、テレワークの形態、想定読者 |
| 第2章 | テレワークにおいて検討すべきこと(ルール・人・技術、3つの役割、クラウド・ゼロトラスト) |
| 第3章 | テレワーク方式の解説(7種類のシステム構成) |
| 第4章 | テレワークセキュリティ対策一覧(13分類・98項目) |
| 第5章 | 各セキュリティ対策の詳細解説 |
| 第6章 | テレワークにおけるトラブル事例と対策 |
「ルール」「人」「技術」のバランス
ガイドラインは、テレワークのセキュリティ対策を「ルール」「人」「技術」の3要素で捉えることを強調しています。
- ルール:情報セキュリティポリシー、テレワーク利用規程、データ取扱いルールの策定
- 人:経営者・管理者・従業員への教育・啓発。ルールを守る「人」がいなければ技術は機能しない
- 技術:認証、暗号化、VPN、EDR、ログ管理等のセキュリティ技術の導入
技術だけを導入してもルールや教育が伴わなければセキュリティは確保できません。3要素のバランスが重要です。
3つの役割分担
ガイドラインはセキュリティ対策の実施主体を3つの役割に分けています。
| 役割 | 責任範囲 | 主な実施事項 |
|---|---|---|
| 経営者 | セキュリティ方針の決定、リソースの確保 | テレワークセキュリティ方針の策定と承認、予算・人員の確保、リスク対応方針の決定 |
| システム・セキュリティ管理者 | 技術的対策の実装と運用 | テレワーク環境の設計・構築、セキュリティ設定、ログ監視、インシデント対応 |
| テレワーク勤務者 | ルールの遵守と自己防衛 | ルールに基づく端末管理、不審メールへの対応、公衆Wi-Fi利用時の注意 |
中小企業では経営者とシステム管理者が同一人物であるケースも多いですが、「どの立場で何をすべきか」を意識することが重要です。
7つのテレワーク方式
ガイドラインはテレワークのシステム方式を7種類に分類しています。
| 方式 | 概要 | データの保存先 | 特徴 |
|---|---|---|---|
| ①VPN方式 | VPNで社内ネットワークに接続し、社内システムにアクセス | 社内サーバー+端末 | 既存環境の延長で導入しやすい。VPN装置の脆弱性管理が重要 |
| ②リモートデスクトップ方式 | 社内PCを遠隔操作。画面転送のみ | 社内PC | 端末にデータが残らない。回線品質に依存 |
| ③仮想デスクトップ(VDI)方式 | サーバー上の仮想PCを遠隔操作 | サーバー | 端末にデータが残らず安全。導入コストが高い |
| ④セキュアコンテナ方式 | 端末内のセキュアな領域で業務アプリを実行 | コンテナ内(端末上) | BYODとの相性が良い。個人データと分離 |
| ⑤セキュアブラウザ方式 | 特殊なブラウザで社内システムにアクセス | ブラウザ終了時に消去 | 端末にデータが残らない。対応システムに制約 |
| ⑥クラウドサービス方式 | M365やGoogle Workspace等のクラウドサービスを直接利用 | クラウド | VPN不要。導入が容易。認証とアクセス制御が重要 |
| ⑦スタンドアロン方式 | ネットワーク接続なしで端末上のデータのみで業務 | 端末 | セキュリティリスクは低いが、業務範囲が限定的 |
M365やGoogle Workspaceを活用するクラウドサービス方式は、VPN装置が不要で導入コストが低く、場所を問わずアクセスできます。MFA+条件付きアクセスで認証を強化すれば、VPN方式よりもセキュリティが向上するケースも多いです。
13の対策分類と98項目
ガイドラインは共通のセキュリティ対策を13分類・98項目に整理し、各項目を「基本対策」と「発展対策」に分けています。
| # | 対策分類 | 具体例 |
|---|---|---|
| 1 | ガバナンス・リスク管理 | セキュリティポリシーの策定、リスクアセスメントの実施 |
| 2 | 資産・構成管理 | IT資産台帳の管理、ソフトウェアの把握 |
| 3 | 脆弱性管理 | OSやソフトのアップデート、VPN装置のパッチ適用 |
| 4 | 特権管理 | 管理者権限の最小化、特権アカウントの保護 |
| 5 | データ保護 | データの暗号化、バックアップ、情報の持ち出しルール |
| 6 | マルウェア対策 | ウイルス対策ソフトの導入、不審メールへの対応 |
| 7 | 通信の保護 | 通信の暗号化、VPNの利用、公衆Wi-Fiの制限 |
| 8 | アカウント・認証管理 | MFAの導入、パスワードポリシー、SSO |
| 9 | アクセス制御・認可 | 最小権限の原則、条件付きアクセス |
| 10 | インシデント対応・ログ管理 | インシデント対応手順の整備、ログの取得・保管 |
| 11 | 物理的セキュリティ | 端末の施錠管理、のぞき見防止、紛失対策 |
| 12 | 教育・啓発 | 従業員へのセキュリティ教育、フィッシング訓練 |
| 13 | サプライチェーンの管理 | 委託先のセキュリティ管理、クラウドサービスの評価 |
ゼロトラストとクラウドの考え方
第5版では新たにゼロトラストセキュリティとクラウドサービスの活用に関する考え方が追加されました。
ゼロトラストセキュリティ
従来の「社内ネットワークは安全」という前提を捨て、すべてのアクセスを検証するアプローチです。テレワーク環境では社員が社外から接続するため、ゼロトラストの考え方が特に有効です(→ ゼロトラスト解説記事)。
クラウドサービスの活用
テレワークではM365やGoogle Workspace等のクラウドサービスが有効です。ただし、設定の不備(外部共有の全開放、MFA未設定等)はセキュリティリスクに直結するため、適切な設定とアクセス制御が必要です。
中小企業向けチェックリスト
ガイドライン本体とは別に、「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)第3版」が公開されています。セキュリティの専任担当がいない中小企業を対象としており、最低限のセキュリティを確保するためのチェック項目がまとめられています。
また、以下の補助資料も利用可能です。
- 従業員向けハンドブック:テレワーク勤務者への配布用
- 緊急時対応カード:インシデント発生時の連絡先カード(ラベルシート印刷対応)
- 設定解説資料:M365(Exchange Online、Teams、OneDrive)、Google Workspace、Zoom、LANSCOPE等の具体的な設定手順
Microsoft 365での実装
ガイドラインの対策項目をM365で実装する場合、以下が対応関係になります。
| ガイドラインの対策 | M365での実装 |
|---|---|
| MFAの導入(対策分類8) | Entra IDのセキュリティの既定値群 or 条件付きアクセス |
| 通信の暗号化(対策分類7) | M365はTLS暗号化が標準。VPN不要のクラウドサービス方式 |
| 端末管理(対策分類2) | Intuneによるデバイス管理、コンプライアンスポリシー |
| マルウェア対策(対策分類6) | Defender for Business(Business Premium) |
| データ保護(対策分類5) | BitLocker暗号化、感度ラベル、DLP |
| アクセス制御(対策分類9) | 条件付きアクセス(場所・デバイス・リスクベース) |
| ログ管理(対策分類10) | 統合監査ログ、サインインログ、Defenderアラート |
| 教育・啓発(対策分類12) | Defender for Officeのフィッシングシミュレーション |
まとめ
総務省のテレワークセキュリティガイドラインは、テレワーク導入におけるセキュリティの教科書です。中小企業はまず「チェックリスト第3版」で現状を確認し、MFAの全ユーザー適用、通信の暗号化、端末管理の3つから着手しましょう。M365 Business Premiumを活用すればクラウドサービス方式+ゼロトラストの基盤を追加コストなしで構築できます。