[市場動向]

2020年4月20日(月)IT Leaders編集部

リスト

　NISCでは2020年4月7日に重要インフラ事業者等に向けて、4月9日には政府機関向けにテレワークに関する留意事項を発表、注意喚起を促していた。今回、一般の企業におけるテレワーク導入の必要性が高まってきていることを受けて、この内容を公開、広く周知することにした。2つの留意事項はほぼ同じ内容となっており、ここでは一般企業に照らし合わせた形で紹介する。

事前準備

　テレワークの開始にあたっては、導入目的の明確化、対象範囲の決定、導入計画の策定、従業員説明等を事前に行うほか、セキュリティポリシーや社内ルールの整備、インフラ環境の準備が必要となる。テレワーク導入によるベネフィットとリスクのバランスについては、今回は緊急時の措置であることを考慮することも重要だとしている。
①セキュリティポリシー及びルールの整備
　自社のセキュリティポリシーを踏まえ、PCや紙情報の持ち出しルールなどテレワーク実施時の労務管理ルールの不足分を整備する。
②ICT環境の準備
　テレワーク関連のITインフラ環境は、自社の実態に合わせて検討する。参考となるものとして、総務省「情報システム担当者のためのテレワーク導入手順書」、一般社団法人日本テレワーク協会「テレワーク関連ツール一覧」を挙げている。

　総務省のテレワーク情報サイトには、総務省「テレワークセキュリティガイドライン」および厚生労働省「在宅勤務ガイドライン」なども紹介されているので、こちらも参考にしていただきたい。

VPN

　自宅からインターネットを通じて社内と通信する際の安全策としてVirtual Private Network（VPN）を挙げている。VPNは完全ではないとの前提のもと、迅速なパッチ適用を行うこと、多要素認証の採用を検討する必要があるとしている。

メール

　会社が用意した在宅勤務用のメールであっても、セキュリティ対策を一層高めるため、データの内容に応じてPGP（Pretty Good Privacy）やS/MIME（Secure / Multipurpose Internet Mail Extensions）といった暗号化技術の活用が考えられるとしている。NISCでは、認証局を必要としないため導入が容易なPGP暗号化の導入を推奨している。

リモートデスクトップ（RDP）

　リモートデスクトップ対応を公開している機器は増加しているものの、中にはBlueKeep（CVE-2019-0708）などWindowsのRDPサービスの脆弱性に対してパッチを適用していないものがあり、注意が必要となる。また、企業によってはRDPポートを無意識に公開している場合もあるので、インシデント防止のためPDPポートの開放状況を確認する必要がある。

遠隔会議システム

　先ごろ脆弱性が明らかになった米Zoom Video CommunicationsのZoomに限らず、外部ネットワークを使う遠隔会議システムを利用する場合は、導入前に潜在リスクを調査して運用方法を定め、リスクが顕在化した際の対策をあらかじめ検討しておく必要がある。

機密情報の保護

　SNSに投稿したテレワークの写真に機密情報などが写り込む事例が発生しているため、コミュニケーションを取る際には特に気を付ける必要がある。遠隔会議の際には、カメラに機密情報が映り込んだり、音声情報が聞こえたり、といったリスクがあるため、会議の実施場所や設定に配慮する必要がある。

　そのほか、容易に推測されない堅牢なパスワードの設定、多要素認証の活用、OSやソフトウェアのアップデート、不審なメールへの注意、PCの盗難、紛失への注意、無線LANのセキュリティ設定の確認、インシデント発生時の連絡方法の確認など、基本的な対策も重ねて行うよう呼び掛けている。