ITセキュリティ女子のブログ

  • エンドポイントセキュリティ
  • テレワーク
2020.10.22

海外のテレワークセキュリティって?米国のガイドラインを調べてみた

海外のテレワークセキュリティって?米国のガイドラインを調べてみた

皆さんこんにちは。長谷川まりです。

自社のテレワークのセキュリティ対策に抜け漏れがないかチェックしたい。そんな時に役に立つのがガイドラインです。日本では、総務省から2020年度中に最新版ガイドラインの公表が検討されているようですが、このような状況の中、海外ではどのような内容になっているのでしょう?今回は、米国を例に、その内容をかいつまんでご紹介します!

日本のテレワークセキュリティガイドライン

日本では、総務省のテレワークセキュリティのガイドラインが、既に多くの企業で活用されています。初版は以外と古く、2004年に公表されており、現在(2020年10月時点)では2018年に発行されている第4版が最新となっています。このほかつい最近、テレワーク導入の急速な広がりを背景に、特に中小企業等担当者向けの手引書も発行されました。

テレワークセキュリティガイドラインは以前、「テレワークの分類とお奨めの端末セキュリティ対策 」で種類と対策を少し触れていますが、全体的には、経営者、IT担当、従業員が、それぞれ何をするべきかが明確に示されています。

米国のテレワークセキュリティガイドライン

では、海外のガイドラインはどうなっているのでしょう?米国に目を向けたところで、NISTのガイドラインや米国サイバーセキュリティ関連機関が出している情報を全部ひっくるめて超シンプルにまとめた資料を発見しました。米国CISA(Cybersecurity and Infrastructure Security Agency)がリリースした「Telework Essentials Toolkit 」です。

CISAは、米国において省庁のネットワークを守り、重要インフラのサイバーセキュリティを推進する組織で、全米のサイバーセキュリティ向上を牽引している組織です。日本のNISCとIPAを一緒にしたような組織をイメージしていただけると、わかりやすいかもしれません。

さて、このガイドラインではCOVID-19に触れながら、一時的ではない長期的、戦略的なテレワークのセキュリティ対策を求めています。日本の総務省のものと同様、経営者、IT担当者、利用者の観点で実施すべきことが3ページで簡潔にまとめられています。以下にそのポイントをご紹介します。

経営者

経営者が講じるべき役割は、ITセキュリティに関する方針(テレワークに対する方針も含む)を作り、リスクを管理し、セキュリティ対策の有効性を確かなものにすることです。日本の総務省のガイドラインにも同様のことが書かれていますので、万国共通のものと言えますね。

IT担当者

IT担当者が講じるべき具体的な対策内容が書かれています。以下のように、脆弱性スキャン、ゼロトラスト、DNSセキュリティなど、新しいテクノロジーを用いたセキュリティ対策も盛り込まれています。

脆弱性スキャン、脆弱性管理、パッチの自動適用

IT資産管理ツールを利用していても、OSのセキュリティパッチ、その上で動く無数のソフトウェアに紐づく脆弱性の把握と管理は人手では実現困難です。脆弱性管理はツールを導入して自動化し、極力人手を排除したいものです。

ゼロトラストアーキテクチャの導入

既存のセキュリティモデルを検証し、十分なセキュリティが担保されていないのであれば、ゼロトラストアーキテクチャの導入が好ましいとあります。確かに、クラウドに情報資産が分散し、社外ネットワークから情報資産にアクセスするという、社内外を隔てる境界が消失した環境においては、境界型セキュリティモデルでは厳しいですね。一足飛びにゼロトラストアーキテクチャに移行するのは難しいですが、将来の導入に向けたロードマップは作っておきたいところです。ゼロトラストについては、「ゼロトラストとは?ゼロトラストの意味と実現イメージ 」もご覧ください。

ユーザーのネットワーク環境の可視化

利用するネットワークのリスクに応じて安全な接続方法を強制するほか、許可するアプリケーションやデータを制限するといった対策を推奨しています。

ランサムウェアに備えたバックアップ

被害に遭いデータを戻すにも、古いデータしか戻せないのは業務に支障が出るため、「高頻度」なバックアップが必要です。また、バックアップからデータが戻せない、などということを防ぐため、正しくバックアップができていることをテストし確かめることも必要です。

DMARCやDNSセキュリティの利用

DMARC (Domain-based Message Authentication, Reporting, and Conformance)とは、なりすましメールや内容改ざんを防ぐためのメール送信元のドメイン認証技術です。これにより、なりすましメール自体の配信を防ぐといったことが可能です。

また、DNSセキュリティを利用すれば、悪意のあるドメインやハイリスクのドメインへのアクセスを防止でき、利用者による不正リンクのクリックやC2サーバへの通信を防止でき、マルウェア感染リスクや個人情報漏洩リスクを減らすことが期待できます。日本でも、フィッシングやビジネスメール詐欺対策の対策が求められていますが、従業員の意識向上だけではなく、このような技術的な対策も必要ですね。

利用者(従業員)

ここでは従業員の守るべき基本的なルールが書かれています。パスワードに関する注意点、組織のセキュリティポリシーを守ること、メール添付ファイルを安易にクリックしてしまわないこと、報告をきちんとすること、といった意識向上面を中心に書かれていますが、これも経営者同様、不変のものと言えますね。

まとめ

今回は、米国のテレワークセキュリティガイドラインをご紹介しました。テレワークを一時的なものと捉えず、脆弱性スキャン、ゼロトラスト、DNSセキュリティといった新しいテクノロジーを用いた、継続的な策が盛り込まれているようです。今後のテレワークセキュリティの方向性について、参考のちょい足しにしていただけると幸いです。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
  • ID管理
  • 認証
2024.03.14

特権ID管理もクラウドサービスで!選べるiDoperation Cloud(SaaS版)とパッケージ版

従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。

  • サイバー攻撃
  • エンドポイントセキュリティ
2023.04.20

Active Directoryを狙うサイバー攻撃の王道と有効なセキュリティ対策

サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められない。多機能で運用も複雑。そんなActive Directoryを守るには、どうしたらよいのでしょう。

  • エンドポイントセキュリティ
2022.08.26

PPAPとは?「脱PPAP」が求められる理由と代替手段の選定ポイント

業務でメールを利用する際のセキュリティ対策としてのパスワード別送「PPAP」。今回は、改めてPPAPとは何かのおさらいとリスク、代替手段についてご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

人気記事

ページの先頭へ戻る