内閣サイバーセキュリティセンター、「テレワークを実施する際に
セキュリティ上留意すべき点について」を公表
岩田合同法律事務所
弁護士 齋 藤 弘 樹
令和2年4月14日、内閣サイバーセキュリティセンター(NISC)は、「テレワークを実施する際にセキュリティ上留意すべき点について」と題する文書(以下、後記の各資料も合わせて「本文書」という。)を公表した。
本文書は、新型コロナウィルス感染症(COVID-19)の影響でテレワークの活用が急速に進んでいることを踏まえ、NISCが、政府機関等、重要インフラ事業者[1]がテレワークを導入する際のセキュリティ上留意すべき点について注意喚起を行うとともに、国民一般向けにも注意すべき基本的なポイントを周知するために公表したものである。
本文書は、資料1「政府機関等におけるテレワークにかかる留意事項(注意喚起)」、資料2「重要インフラ事業者等におけるテレワークにかかる留意事項(注意喚起)」、資料3「テレワーク実施者の方へ~あなたのセキュリティは大丈夫ですか?~」、資料4「テレワークにかかる留意事項(情報共有)」の4つの資料から構成されている。
以下、資料1及び2において「留意事項」とされている6点及び資料3において注意点として挙げられている7点(下表参照)について、資料3において参照することが求められている、総務省「テレワークセキュリティガイドライン第4版」[2]や内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック[3](以下それぞれ「ガイドライン」「ハンドブック」という。)の説明も踏まえて解説する。
1 資料1及び2において「留意事項」とされている6点について
- ⑴ VPN
-
外部からインターネットで組織と通信する際の安全策として、Virtual Private Network(VPN)[4]を経由して組織のネットワークに接続し、業務を実施するケースが存在する。本文書は、VPNは完全ではないとの前提の下、迅速なパッチ適用を行うようにすることに加え、多要素認証[5]の採用の検討が必要である旨述べている。
- ⑵ メール
-
本文書は、テレワークの際に使用するメールについて、自組織が定めている「情報セキュリティポリシー」において、フリーメールや商用メールの制限がどのようになっているか、改めて確認する必要がある旨述べている。
また、本文書は、自組織が用意した在宅勤務用のメールであっても、セキュリティ対策を一層高めるため、取り扱うデータの内容に応じて、PGP暗号化やS/MIMEの活用による対策(すなわちメール本文や添付ファイルの暗号化)を推奨している。[6]
- ⑶ リモートデスクトップ(RDP)
-
本文書は、テレワーク等によりWindowsのRemote Desktop Protocol(RDP)をインターネット上に公開している機器が増加しているとの推測の下、(不正な攻撃に対する弱点となる)RDPの深刻な脆弱性に対応するパッチ適用が未了でないか、留意する必要がある旨述べている。また、本文書は、組織において、意図せずRDPポート(データを送受信するためのチャンネル)を公開しないよう注意をしている。
- ⑷ 遠隔会議システム
-
本文書は、テレワーク等で遠隔会議システム(「Zoom」等)の利用が拡大しているが「Zoom」にはセキュリティ上の問題点があったことを指摘した上で、「Zoom」に限らず遠隔会議システムに潜在するリスクについて、導入前の調査・運用方法の策定・運用中にリスクが顕在化した際の対策の事前検討が必要である旨述べている。
- ⑸ 機密情報の保護
-
本文書は、機密情報が写真や動画に映り込む事例が発生していること等を踏まえ、テレワーク実施時には不用意に機密情報を漏えいしないよう留意すべき旨及び遠隔会議の実施場所や設定に配慮すべき旨述べている。
-
⑹ その他
-
① 堅牢なパスワードや多要素認証の使用
本文書は、パスワードの堅牢化及び多要素認証の活用の検討を求めている。[7] -
② 端末や機器のアップデート
本文書は、OSやソフトウェア、アプリ、機器の脆弱性を確認したうえで、必要に応じてアップデートする等、システムの状況に応じた管理策を検討することを求めている。 -
③ 不審なメールへの注意
本文書は、業務を装ったメール等不審なメールに注意し、身に覚えのないメールの添付ファイルやURLをクリックしないことを組織全体に注意喚起するよう求めている。 -
④ 端末の盗難や紛失への注意
本文書は、ノートPCやスマートフォン、USBメモリ等の紛失防止対策に加え、暗号化の実施の検討や、個人の端末を利用する場合のセキュリティ対策の考慮を求めている。 -
⑤ 無線LANのセキュリティ設定の確認
本文書は、無線LAN(Wi-Fi)のセキュリティ設定に留意するよう求めている。[8] -
⑥ インシデント発生時の連絡方法の確認
本文書は、テレワークによるセキュリティインシデント発生に備え、あらかじめインシデント発生時の対処方法、連絡方法を確認するよう求めている。
-
① 堅牢なパスワードや多要素認証の使用
2 資料3において注意点として挙げられている7点について
下表のとおり、資料3において注意点として挙げられている7点は、資料1及び2において「留意事項」として挙げられている6点の中にほぼ含まれている。[9]
また、上記6点及び7点と関係する、ガイドラインの記載(該当頁)を以下に列挙した。
| 資料2記載の6点 | ガイドラインの該当頁 |
| VPN | 45~46頁 |
| メール | - |
| リモートデスクトップ(RDP) | - |
| 遠隔会議システム | - |
| 機密情報の保護 | - |
|
|
| 資料3記載の7点 | ガイドラインの該当頁 |
| 複雑なパスワードや多要素認証の使用 | パスワードについて51~53頁 多要素認証について48頁 |
| 端末や機器のアップデート | OSやブラウザ、ソフトウェアのアップデートについて31頁、37頁 |
| 業務を装ったメールや不審なメールへの注意 | 40~41頁 |
| 通信の暗号化 | 45~46頁 |
| 端末の盗難や紛失への注意 | 43~44頁 |
| 社内ではないこと(盗み見、無線LANのセキュリティ等)への注意 | |
| インシデント発生時の連絡方法の確認 | - |
3 企業に求められる対応
テレワークの導入の必要性が高まっている一方で、テレワークの導入によりセキュリティ上のリスクが増加する側面もあるかと思われる。したがって、テレワークの導入を検討するまたはすでに導入している企業においては、本文書を踏まえ、セキュリティに十分注意する必要がある。
以 上
[1] 重要インフラには、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野が指定さている。(https://portal.shojihomu.co.jp/wp-content/uploads/2020/04/infra_rt4_r2.pdf)
[4] VPNとは、元々は一つの企業の離れた事業所間を、インターネットを使いながら接続する技術であり、会社内のLANで接続されているように、秘密を守りつつ互いに通信することができる技術である。通信が外部から盗聴できないように暗号化して秘密を守ることができることから、個人の機器からインターネットで組織と通信する際にもVPNの技術が利用されている。VPNの説明及び注意点についてはハンドブック第3章70~71頁を参照されたい。
[5] 認証を3つの要素(①知っているもの、②持っているもの、③本人自身に関するもの)のうち、2つ以上の要素を用いて行うもの。3つの要素すべてを使う場合などもあり得る。
[9] 本文書は、社内ではないことへの注意として、他者からの盗み見(ショルダーハッキング)や大声での電話会議による情報漏えいに注意するよう求めているが、これは上記の資料2記載の6点に含まれていない。