総務省 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集
こんにちは、丸山満彦です。
総務省が、「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集をしていますね。。。
初版は2004年ですから、17年になりますかね。。。すごい歴史です。。。第4版は2018年4月なので、前版から3年。。。
今回の改訂は
【テレワーク環境・セキュリティ動向の変化】
- テレワークは「一部の従業員」が利用するものから、Web会議を含め、一般的な業務・勤務形態に
- クラウドサービスの普及やスマートフォン等の活用が進むなど、システム構成や利用形態が多様化
- 標的型攻撃等の高度な攻撃が増え、従来型のセキュリティ対策では十分対応できない状況も発生
を受けた、改定のポイントは
【ガイドライン改定の主要なポイント】
- テレワーク方式を再整理した上で、テレワークによって実現する業務の内容や、セキュリティ統制の容易性等から、適した方式を選定するフローチャートを掲載。
- 経営者・システム管理者・勤務者の立場それぞれにおける役割を明確化。
- 執るべきセキュリティ対策の分類や内容を全面的に見直し
- テレワークセキュリティに関連するトラブルについて、具体的事例を含め全面見直し
(事例紹介のほか、セキュリティ上留意すべき点や、採るべき対策についても明示)
ということのようですね。。。
● 総務省
・2021.02.15 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集
・概要 [PDF] 別添1
・改定案 [PDF] 別添2
ガイドラインの構成、目次
↓↓↓↓↓↓↓↓↓↓
第1章 はじめに(p.5~)
本ガイドラインの背景や目的、テレワークの形態、想定読者等を示しています。
第2章 テレワークにおいて検討すべきこと(p.10~)
テレワークにおけるセキュリティ対策を進めるに当たり、「ルール」・「人」・「技術」のバランスのとれた対策を行う必要性や、「経営者」・「システム・セキュリティ管理者」・「テレワーク勤務者」の適切な役割分担の重要性と、各立場の役割を具体的に示しています。
また、近年のテレワークを取り巻く環境やセキュリティ動向の変化を踏まえ、クラウドサービスの活用やゼロトラストセキュリティに関する考え方も示しています。
第3章 テレワーク方式の解説(p.24~)
テレワーク方式を7種類に整理した上で、各方式について、基本的構成に加えて派生的な構成を示しているほか、各方式特有のセキュリティ上の留意点について示しています(各方式共通のセキュリティ対策は第4章・第5章)。
また、テレワークによって実現しようとする業務の内容やセキュリティ統制の容易性等を踏まえ、適した方式を選定する際の参考となるよう、フローチャートや、各方式の特性比較表を示しています。
第4章 テレワークセキュリティ対策一覧(p.58~)
「経営者」・「システム・セキュリティ管理者」・「テレワーク勤務者」の立場ごとに、テレワークにおけるセキュリティ対策としても一般的に普及しており、基本的に取り組むことが求められる「基本対策」と、一定の予算や組織体制が整備されていないと実施が困難なセキュリティ対策であるものの、実施により更なるセキュリティの向上が見込める「発展対策」をそれぞれ掲載しています。
また、各セキュリティ対策は、13個の対策分類に分け整理しています。
第5章 テレワークセキュリティ対策の解説(p.69~)
第4章に記載の各セキュリティ対策について、詳細解説を示しています。
第6章 テレワークにおけるトラブル事例と対策(p.93~)
テレワークセキュリティに関するトラブル事例を具体的に紹介した上で、セキュリティ上の留意点や、本ガイドライン内のどのセキュリティ対策が有効であるかを示しています。
目次です。。。
本ガイドラインの構成 |
目次 |
第1章 はじめに |
1.本ガイドラインの背景 |
2.テレワークの形態 |
3.本ガイドラインの目的 |
4.本ガイドラインの想定読者像 |
第2章 テレワークにおいて検討すべきこと |
1.「ルール」「人」「技術」のバランスがとれた対策 |
2.組織の立場に応じた重要な役割 |
(1) 経営者の役割 |
(2) システム・セキュリティ管理者の役割 |
(3) テレワーク勤務者の役割 |
【コラム】情報漏えい |
3.クラウドサービスの活用の考え方 |
(1) クラウドサービスとは |
(2) テレワークにおけるクラウドサービスの有効性 |
(3) テレワークへのクラウドサービス活用の考慮事項 |
4.ゼロトラストセキュリティの考え方 |
(1) ゼロトラストセキュリティとは |
(2) ゼロトラストセキュリティの有効性(注目される背景) |
第3章 テレワーク方式の解説 |
1.テレワーク方式の選定 |
(1) フローチャート |
(2) テレワーク方式の特性比較 |
2.テレワーク方式の詳細解説と考慮事項 |
(1) VPN方式 |
(2) リモートデスクトップ方式 |
(3) 仮想デスクトップ(VDI)方式 |
(4) セキュアコンテナ方式 |
(5) セキュアブラウザ方式 |
(6) クラウドサービス方式 |
(7) スタンドアロン方式 |
3.テレワーク方式の併用 |
(1) ローカルブレイクアウトとの併用 |
(2) PCの方式と異なる方式を使用したスマートフォン等との併用 |
第4章 テレワークセキュリティ対策一覧 |
1.経営者が実施すべき対策 |
2.システム・セキュリティ管理者が実施すべき対策 |
3.テレワーク勤務者が実施すべき対策 |
第5章 テレワークセキュリティ対策の解説 |
1.ガバナンス・リスク管理 |
2.資産・構成管理 |
3.脆弱性管理 |
4.特権管理 |
5.データ保護 |
6.マルウェア対策 |
【コラム】次世代セキュリティ対策ソフト(EDR) |
7.通信の保護・暗号化 |
8.アカウント・認証管理 |
【コラム】ID・パスワードをインターネットブラウザに記憶させても大丈夫? |
【コラム】パスワードの管理方法 |
9.アクセス制御・認可 |
10.インシデント対応・ログ管理 |
11.物理的セキュリティ |
12.脅威インテリジェンス |
13.教育 |
第6章 テレワークにおけるトラブル事例と対策 |
1.VPN機器の脆弱性の放置 |
2.個人情報保護の強化 |
3.アクセス権限の設定不備 |
4.マルウェア感染 |
5.ランサムウェア |
【コラム】パスワードの管理方法 |
6.フィッシングメール |
7.ビジネスメール詐欺(BEC) |
8.USBメモリの紛失 |
9.無線LAN利用通信の窃取 |
10.第三者による画面閲覧 |
11.テレワーク端末の踏み台化 |
12.パスワードの使い回し |
13.クラウドサービスの設定ミス |
14.クラウドサービスの障害 |
15.サプライチェーン |
用語集 |
Comments