内閣サイバーセキュリティセンター、テレワークを実施する際にセキュリティ上留意すべき点について注意喚起
- 2020/04/16 10:30
- SecurityInsight
内閣サイバーセキュリティセンターは4月14日、新型コロナウィルス感染症対応に伴うテレワーク実施に際して、セキュリティ上留意すべき点について政府機関等、重要インフラ事業者等それぞれに向けて注意喚起を行なった。その概要は以下のとおり。
■テレワークに向けた事前準備
1.セキュリティポリシーおよびルールの整備
各機関において定めている「情報セキュリティポリシー」を踏まえ、導入しようとするテレワーク計画に照らし、PC端末や紙情報の持ち出しルール等、テレワーク実施時のルールについて、不足分を整備する。
2.ICT環境の準備
テレワークにかかるICT環境は、「情報システム担当者のためのテレワーク導入手順書(2016年3月、総務省))や、「テレワーク関連ツール一覧(2019年11月、一般社団法人日本テレワーク協会)」等を参考に、各機関の実態に合わせて検討する。
■留意事項
1.VPN
VPNは完全ではないとの前提の下、迅速なパッチ適用を行うようにすること、加えて多要素認証の採用の検討が必要となる。
2.メール
テレワークの際に使用するメールについて、各機関が定めている「情報セキュリティポリシー」で、フリーメールや商用メールの制限がどのようになっているか、改めて確認する必要がある。また、各機関が用意した在宅勤務用のメールであっても、セキュリティ対策をいっそう高めるため、取り扱うデータの内容に応じて、PGP暗号化5やS/MIME6の活用による対策が考えられる。特にPGP暗号化は導入が容易であることから推奨する。
3.リモートデスクトップ(RDP)
2019年に発見されたWindowsのRDPサービスの深刻な脆弱性のパッチを適用していないものもあり、留意する必要がある。各機関において、意図せずRDPポートを公開している場合も考えられることから、セキュリティインシデントを防止するため、PDPポート開放状況を確認する必要がある。
4.遠隔会議システム
「Zoom」に限らず、外部サービスである「遠隔会議システム」は外部ネットワークを使うこととなるため、潜在するリスクについて導入前に十分調査し、各機関が許容するリスクに応じた運用方法を定めること、運用中にリスクが顕在化した際の対策をあらかじめ検討しておくことが必要。
5.機密情報の保護
Twitterやインスタグラム等のSNSに投稿したテレワークの写真に、機密性の高い文書や業務情報が映り込む事例が発生しており、テレワーク実施時には特に不用意な機密情報の漏洩に留意する必要がある。また、遠隔会議を実施する際に、機密性の高い情報がカメラの背景に映り込んだり、業務情報がマイクから流れたりすることで、不用意な情報漏洩につながる蓋然性があることから、遠隔会議の実施場所や設定に配慮する必要がある。
6.その他
(1)堅牢なパスワードや多要素認証の使用
システムで用いるパスワードは他者から容易に推測されない堅牢なものとし、多要素認証が使用できる場合は活用することを検討する。
(2)端末や機器のアップデート
OSやソフトウェア、アプリ、機器の脆弱性を確認したうえで、必要に応じてアップデートする等、システムの状況に応じた管理策を検討する。
(3)不審なメールへの注意
業務を装ったメールや新型コロナウイルス感染症をテーマにした不審なメール等に注意し、身に覚えのないメールの添付ファイルやURLはクリックしないように組織全体に注意喚起が必要。
(4)端末の盗難や紛失への注意
ノートPCやスマートフォン、USBメモリー等は紛失のリスクもあるため、紛失を防止するための対策に加え、暗号化の実施の検討や、個人の端末を利用する場合のセキュリティ対策を考慮する。
(5)無線LANのセキュリティ設定の確認
無線LAN(Wi-Fi)のセキュリティ設定に留意する。