お知らせ

テレワークセキュリティガイドライン(第5版)(案)に対するパブリックコメント募集が行われています(2021/2/21)

2月15日、総務省テレワークセキュリティガイドライン(第5版)(案)のパブリックコメント募集を開始しました。

現行の第4版に比べて、第5版(案)は総ページ数が61ページから113ページへと、大幅にボリュームが増えています。

内容は、テレワーク方式や必要とされるセキュリティ体制、関係者(経営者、システム・セキュリティ管理者、勤務者)ごとの実施すべき対策に関する解説がされている点は同様ですが、次のような項目が追加されています。

ゼロトラストセキュリティの考え方
テレワークにおけるトラブル事例と対策

ゼロトラストセキュリティとは、新たなセキュリティに対する考え方として注目されているもので、第5版(案)では次のように説明されています。

ゼロトラストセキュリティとは、外部ネットワーク(インターネット)と、内部ネットワーク(LAN)との境界による防御(境界型セキュリティ)には限界があり、内部ネットワーク内にも脅威が存在しうるという考えのもと、機器単位でのセキュリティ強化をうたった考え方を指します。

また、テレワークにおけるトラブル事例と対策では、次の15類型が挙げられています。

1 VPN機器の脆弱性の放置
2 個人情報保護の強化
3 アクセス権限の設定不備
4 マルウェア感染
5 ランサムウェア
6 フィッシングメール
7 ビジネスメール詐欺(BEC)
8 USBメモリの紛失
9 無線LAN利用通信の窃取
10 第三者による画面閲覧
11 テレワーク端末の踏み台化
12 パスワードの使い回し
13 クラウドサービスの設定ミス
14 クラウドサービスの障害
15 サプライチェーン

こうした情報が追加された理由を、「1.本ガイドラインの背景」では、次のように述べています。

・新たな製品やサービスを活用し、テレワークを推進していく姿勢は重要ですが、結果としてシステム構成や利用形態が多様化し、従来から整備してきた情報システムのセキュリティ対策や情報セキュリティ関連規程が十分に対応できていない状況も想定されます。
・テレワーク環境を含む情報システムに対するサイバー攻撃についても、正規のメールと容易に区別がつかないような不審メールによるマルウェア感染(例:Emotet)の広まりや、特定の企業を徹底的に狙った標的型攻撃の発生など、高度化・複雑化し続けています。
・このように、テレワークを取り巻く環境やセキュリティ動向が変化してきていることから、これに対応するため、平成30(2018)年4月に公表した本ガイドライン(第4版)について全面的な改定を行い、第5版として策定するものです。