総務省、中小企業向け「テレワークセキュリティの手引き(チェックリスト)」を公表
――ガイドラインをより実践的に、対応する「Zoom」等の設定解説も――
総務省は9月11日、初めての作成・公表となる「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を同省ウェブサイトで発表した。
総務省では「テレワークセキュリティガイドライン」を当初2004年に策定、2018年には第4版を公表してきたところであるが、テレワークがこれまで未導入の中小企業においても広まるなか「従来のテレワークセキュリティガイドラインに加えて、より実践的かつ具体的で分かりやすい内容の資料について必要性が高まってい」たとし、今般の「手引き(チェックリスト)」では最低限のセキュリティを確実に確保できるようにすることを目標とした。利用者を明確に「セキュリティの専任担当がいないような中小企業等におけるシステム管理担当者(専門用語について仕組みの詳細まではわからないが、利用シーンがイメージできるレベルの方)」と位置付け、利用企業のセキュリティ予算の考え方についても「外部委託コストの捻出は難しい」と想定したうえで、用語の解説を手厚くするほか、導入方式や必要機材については図を豊富に織り込むようにした。
全体で74ページとなる「手引き(チェックリスト)」では、前半30ページを第1部としてテレワークの方式に関する確認・解説、想定される脅威の解説に充てたのち、後半40ページを第2部とし、具体的にセキュリティ対策が必要となるシステムや機器を明示しながら、個別の対策についてはチェックリスト方式により掲げる形式を採った。第2部の終盤ではチェックリストの内容を一覧化できるように再構成して掲載したほか、巻末には用語集を収載し、かつ、関係省庁・機関によるセキュリティ関連の参考情報についてアクセス先を取りまとめたページも設けた。
また、表紙と目次との間の巻頭部分には「テレワークセキュリティに関するQ&Aと本書の対応ページ」というチャート図を置き、たとえば「Q3. チェックリストの対策の必要性を知りたい。 社内へ説明する理由がほしい」という要望に対しては、第1部「4. テレワーク環境で想定される脅威の解説」を読めばよいことをガイド。さらに、テレワーク下で多く使われている製品「Cisco Webex Meetings」「Microsoft Teams」「Zoom」については「手引き(チェックリスト)」本文に記載したチェックリスト項目に関わる具体的な作業内容を各製品ごとに「設定解説資料」として作成・公開するといった点を含め、総じて、利用しやすいものとする工夫が随所に窺われるものとなっている。
チェックリスト項目によると、必要な対策は大別して(1)資産管理、(2)マルウェア対策、(3)アクセス制御(論理)、(4)アクセス制御(物理)、(5)脆弱性管理、(6)通信暗号化、(7)インシデント対応・管理、(8)データ保護、(9)認証、(10)特権管理の10分野。それぞれの分野では、たとえば上記(7)において「情報セキュリティインシデント発生時に備えて、インシデントが発生した場合や懸念がある状況(不審なメールを開封した場合等)における対応方針を決定しており、関係者への各種連絡体制を定めている」(7-1)、「テレワーク端末とアクセス先の各システムの時刻が同期されるように設定している」(7-2)、「テレワーク端末から社内システムにアクセスする際のアクセスログを収集している」(7-3)と3つの対策内容が示されるように、個別具体的な作業を細分化して掲げる。加えて、対策の優先度が高いものについては「◎」を付すかたちで明らかにした。
このような個別具体的な対策の作業について、第2部の記述では、テレワークの方式ごと「前提となる対策」「優先度:◎の項目」「優先度:○の項目」の順に整理・抽出して案内するようにしており、「チェックリスト方式」とすることの利点を引き出している。
総務省では、今般公表の初版に対して寄せられた意見等を踏まえ、より分かりやすい「手引き(チェックリスト)」を第2版として年内を目途に作成するほか、製品ごとの設定解説資料についても対象製品を増やしていく予定である。