ガイドラインの概要
総務省が公開する「テレワークセキュリティガイドライン」は、テレワークを安全に実施するためのセキュリティ対策を体系的にまとめたガイドラインです。経営者、システム管理者、テレワーク勤務者の3者それぞれの立場で必要な対策を示しています。
テレワーク方式の分類
| 方式 | 概要 | セキュリティ特性 |
|---|---|---|
| VPN方式 | VPNで社内ネットワークに接続 | 社内と同等のセキュリティだがVPN機器が攻撃対象に |
| リモートデスクトップ方式 | 社内PCに遠隔接続して操作 | データが手元に残らないが回線品質に依存 |
| 仮想デスクトップ(VDI)方式 | 仮想環境のデスクトップを利用 | 高セキュリティだが導入コストが高い |
| クラウド型アプリ方式 | Microsoft 365等のクラウドサービスを直接利用 | VPN不要でスケーラブルだがID管理が重要 |
| スタンドアロン方式 | 社内ネットワークに接続せず端末のみで作業 | ネットワークリスクは低いがデータ同期が課題 |
3者の役割
| 役割 | 主な責務 |
|---|---|
| 経営者 | テレワークセキュリティの方針策定、予算確保、体制整備 |
| システム管理者 | 技術的対策の導入・運用(MFA、暗号化、ログ管理、EDR等) |
| テレワーク勤務者 | セキュリティルールの遵守、不審な通信の報告、端末の適切な管理 |
セキュリティ対策のポイント
- MFA(多要素認証)の必須化:パスワードだけでなく、認証アプリやFIDO2キーを組み合わせる
- 端末の暗号化:BitLockerやFileVaultでディスク全体を暗号化し、紛失・盗難時のデータ漏洩を防止
- EDRの導入:エンドポイントでの脅威検知・対応
- 通信の暗号化:TLS 1.2以上での通信、VPN利用時はSSL-VPNの脆弱性に注意
- クラウドサービスのアクセス制御:条件付きアクセスで接続元・デバイスの状態に応じたアクセス制御
- テレワーク環境でのルール策定:公共Wi-Fiの利用禁止、覗き見防止、紙媒体の持ち出しルール等
まとめ
テレワークセキュリティガイドラインは、テレワーク方式ごとのセキュリティ特性と、経営者・管理者・勤務者の3者それぞれの役割を整理したガイドラインです。MFA、端末暗号化、EDR、条件付きアクセスが基本対策です。