総務省は4月13日、「テレワークセキュリティガイドライン(第4版)」を公開した。5年ぶりに改訂された内容では、クラウドやSNS、脆弱性、ランサムウェアなど近年のセキュリティ動向を反映させたという。
同ガイドラインは、自宅や外出先、サテライトオフィスなど、本来のオフィスとは異なる場所からIT機器やシステムを使って業務を行う際の情報セキュリティ対策やトラブルの対処策をまとめたもの。2017年10月から今回の改訂内容が検討され、3月に行われたパブリックコメントを反映して公開された。
第4版では、「BYOD」と呼ばれる私物端末やクラウドサービスを利用する際の留意点、参考リンク集として「サイバーセキュリティ経営ガイドライン」や「情報処理安全確保支援士制度(通称:登録セキスペ)」といった近年の情報セキュリティ政策に関する情報の掲載先などを追加した。
対策例では、2017年10月に発覚した無線LANでのWPA2認証の脆弱性「KRACKs」などが発覚した事態を受け、テレワークに必要なITツールやサービスの内容を整理、更新した。また、SNSへの投稿といったオンラインサービスを利用する際の留意点とトラブル事例などを盛り込んでいる。
テレワークでの無線LANセキュリティのイメージ(出典:総務省資料)
同ガイドラインで経営者向けとシステム管理者向けに、それぞれ追加された内容は下記の通り。
経営者が実施すべき対策
- 社内で扱う情報について、その重要度に応じたレベル分けを行った上で、テレワークでの利用可否と利用可の場合の取り扱い方法を定める
- テレワークにおける情報セキュリティ対策に適切な理解を示した上で、必要な人材・資源に必要な予算を割り当てる
システム管理者が実施すべき対策
- 情報のレベル分けに応じて、電子データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行う
- ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する
- テレワーク端末において無線LANの脆弱性対策が適切に講じられるようにする
- メッセージングアプリケーションを含むSNSに関する従業員向けの利用ルールやガイドラインを整備し、その中でテレワーク時の利用上の留意事項を明示する
- ファイル共有サービスなどのパブリッククラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を禁止する