在宅勤務 (WfH) 向けセキュリティガイダンスの "要点"
(日本語版)

ー ガイダンスの要点をまとめるにあたって ー

- 多彩なガイダンス

COVID-19によるパンデミック以降、各国の政府機関や組織・団体などから、在宅勤務(WfH)のガイダンスが発行されました。
これらは実践的ですぐにでも取り入れていきたい内容ばかりです。

同時に、既に50以上ものガイダンスがパンデミック以降発行(2020年5月現在)されていますので、一度整理することによって本質的に必要な取り組みをあぶり出していくことに試みたのが、今回の INSIGHT and TIPS です。

- 比較検討

今回は前掲の INSIGHT and TIPS “在宅勤務 (WfH) 時代のリスクと対策 4Steps” でも紹介した以下 6つの機関・組織による 9つのガイダンスを比較検討していきます。

 ・米国 DoD(米国国防総省)
 ・米国 FTC(米国連邦取引委員会)
 ・米国 NIST(米国国立標準技術研究所)
 ・英国 NCSC(国家サイバーセキュリティセンター)
 ・欧州連合 ENISA (欧州ネットワーク・情報セキュリティ機関)
 ・SANS (ITセキュリティ教育組織)

これらを選定した理由としては、内容の網羅性と展開の効率性、そして日本企業やその他のガイダンスにおいても多く参照されるガイダンスであるためです。

- 評価軸

ただし、それぞれがカバーしている領域にも微妙な差異がありますので、今回は別途評価軸を設けました。

米国 NIST CSF (Cyber Security Framework) と 英国 NCSC CAF (Cyber Assessment Framework) です。
BSI(英国規格協会)より双方の対照表が発行されておりますので、これらは同等のものであるとして今回は定義しています。

この二つを評価軸に選定した理由は、各ガイダンスが「サイバー攻撃への対策」とその「組織的対応」に重きをおいていることから最適であると判断しました。
また、このような場合 ISO27000 シリーズではないのかという声も聞かれるかと思いますが、ISO27000 シリーズでは識別・防御までを対象としているところ、CSF および CAF においてはその後の検知・対応・復旧までをも網羅しています。

そこで、選定した6つのガイダンスを評価軸に照らし合わせて比較していくことで相互の共通点や差異などを明確にし、在宅勤務 (WfH)のセキュリティにおいて本質的に求められているものが何であるかを今回はあぶり出していきます。

※ 注意事項

それぞれのガイダンスは現在進行形でアップデートが繰り返されています。
今回の試みは2020年5月末現在にアップデートされたガイダンスを元に行っているため、今後のガイダンスアップデートによっては内容や表現について差異や過不足等が生じる可能性があることをあらかじめご了承ください。

2020年6月

− インターネット −

識別 → 【防御】 → 検知 → 対応 → 復旧

・セキュリティ警告を装ったポップアップをクリックしてはいけない *1
・怪しいリンクをクリックしたり、怪しい添付ファイルを開かない *8
・知り合いからのメールでもいつもと違う要求をしてくるメールは疑う *8 *9
・セキュリティポリシーを回避または無視させようと圧力をかけたり、うますぎる話は疑う *9

・悪意ある者の攻撃手法をよく知る *1
・フィッシング詐欺の見分け方と回避方法を知る *3 *4 *6 *8
・スパムメールの見分け方と報告方法を知る *3 *6
・技術サポート詐欺を発見し、回避し、報告方法を知る *3
・ロマンス詐欺を避けるための方法を知る *3
・公開されているあなたの情報が悪用されることを知る *5

・ソーシャルメディアやオンライン・アカウントのプライバシ設定を見直す *5

− ネットワーク −

【識別】 → 防御 → 検知 → 対応 → 復旧

・インフラにもパッチをあてる *7
・ファイアウォールなどネットワーク上でセキュリティ関連の機能を果たす機器や、
 ネットワークの境界線上にあるものに優先順位をつける *7

識別 → 【防御】 → 検知 → 対応 → 復旧

・ベストプラクティスに従って自宅の Wi-Fi も設定する *1 *3 *8
・Wi-Fi ルータのパスワード変更や暗号化 (WPA2/WPA3) を有効にする *1 *2 *9
・信頼できないネットワーク接続は使用しない *1 *3 *8
・信頼できる人以外には、絶対にワイヤレスネットワークへ接続させない *9

・VPN でメールやファイルなど組織の IT リソースへ安全にアクセスできるようにする *6
・VPN アプリで公衆 Wi-Fi をより安全に利用する *3

・VPN アプリのメリットとリスクを知る *3 *6
・VPN 接続を確立する前にマシンを再起動する *1
・作業終了時や終業時には VPN からログオフする *1
・すべての VPN 接続に多要素認証を実装する *4
・IT 担当者は利用増加に備え VPN をテストし、レート制限などの変更を行う *4 *6

・フィルタリングや悪質サイトのブロック、既知の悪意あるコードをブロックする *7
・ネットワーク横方向への移動を防止し、マルウェアが組織全体に拡散することを防ぐ *7
・定期的にユーザ権限を見直し不要になったものを削除する *7
・管理インターフェイスが最小限となるよう、ネットワークを構築する *7
・気密性の高いシステムへのアクセスを制限する *8

識別 → 防御 → 検知 → 【対応】 → 復旧

・接続に問題がある場合は、問い合わせる前に自らのインターネット接続を確認する *1
・非常に深刻な状態の場合は Wi-Fi をオフにし、コアネットワークへの接続を無効にする *7
・非常に深刻な状態の場合はパスワードを含む資格情報をリセットする(特に管理者) *7

・雇用主は認証と安全なセッション機能(基本的には暗号化)を提供すべきである *8

識別 → 防御 → 検知 → 対応 → 【復旧】

・ネットワークトラフィックを監視し感染が残っていないか確認する

− デバイス −

【識別】 → 防御 → 検知 → 対応 → 復旧

・インストールされているソフトウェアのバージョンを追跡するなど資産管理を行う *7

識別 → 【防御】 → 検知 → 対応 → 復旧

・最新のアップデートが適用されていることを確認する *1 *3 *4 *6 *7 *9
・最新の OS にアップデートしセキュリティパッチが適用されていることを確認する *1 *4 *6 *7 *8
・可能であれば OS、アプリケーション、ファームウェアの自動アップデートを有効にする *7 *9
・利用する機器にアンチウイルスソフトウェアをインストールする *1 *3 *6 *7
・セキュリティソフトを最新の状態にする *2 *4 *7 *8
・モバイルデバイス管理ソフトで標準的な構成のデバイスを設定する *6
・時代遅れのOS やアプリが適切に分離されていることを確認する *7

・職務上必要の無い活動(SNS、動画サイト、買い物など)に使えないよう制限する *1 *3
・非公式のビデオオンデマンドやストリーミングを利用してはいけない *1
・使用していないアプリケーション(メール、動画、音声など)を起動したままにしない *1
・アクティブに使用していないアプリケーションを全て終了する *1
・モバイルアプリについて理解する *3
・企業が信頼するアプリケーションのみを実行できるようにする *7
・信頼できるアプリストアからのアプリケーションのみを実行できるようにする *7
・他のスクリプト環境(PowerShell など)を無効または制限する *7
・悪意のある Microsoft Office マクロからシステムを保護する *7
・受信すると予想されるファイルタイプのみを許可する *7
・未知のツールをデバイス上で実行する前に予防策をとる *7
・システム管理者は管理者権限でメールや Web 閲覧を行わない *7

・すべてのデバイスとアプリでパスワードを使用する *2
・多要素認証を使用してユーザを認証し、認証情報を窃取されても再利用できないようにする *7
・VPN を介して最初に接続されたユーザであることを確認する *7
・携帯電話のデータを保護する *3
・音声アシスタントをセキュアにしてプライバシーを守る *3
・IP カメラを安全に使用する *3

・可能な限りオフラインで作業する *1
・可能な限り支給された機器を使用する *1
・組織で定められた利用・取扱説明書に従う *1
・オフィスにいる時とは異なるソフトウェアを使用する場合の説明書を作成し、
 説明されたとおりに動作することをテストする *6
・リムーバブルメディアを無効にする *6
・マウントされたメディアの自動実行を無効にする *7
・ファイアウォールを設定し、デフォルトで受信接続を許可しないようにする *7
・USB 経由ではなく企業のストレージやコラボレーションツールなどを用いて
 ファイルを転送する *6

・ロックが解除されたまま離席してはならない *1 *6 *8
・他者が覗き見できる公共の場で使用しない *1
・デバイスから目を離さない *2 *3 *6 *9
・デバイスのデータは暗号化し、紛失や盗難からデータを保護する *6 *8
・リモートでデバイスのロックや消去を行えるツールを活用する *6
・スタッフがデバイスを管理することを支援する *6
・デバイスを使用していないときは安全な場所に保管する *6
・定期的なバックアップを忘れない *7 *8
・重要なファイルのバックアップを最新の状態にしておく *7
・古いデバイスを処分する前に、個人情報を削除する *3

識別 → 防御 → 検知 → 【対応】 → 復旧

・紛失または盗難を直ちに IT サービスデスクに報告する *1
・感染したデバイスを、有線・無線・モバイル問わず直ちに全てのネットワークから切断する *7

識別 → 防御 → 検知 → 対応 → 【復旧】

・アンチウイルスソフトウェアでフルスキャンを実行する *5 *7
・アンチウイルスソフトが発見した問題をクリーンアップする *5

・バックアップから復元する前に、バックアップにマルウェアやランサムウェアが
 含まれていないことを確認する *7
・OS とその他全てのソフトウェアをダウンロード・インストール・アップデートするために、
 デバイスをクリーンなネットワークに接続する *7
・感染したデバイスを安全に消去し OS を再インストールする *7

− アプリケーション −

【識別】 → 防御 → 検知 → 対応 → 復旧

・組織で承認されたコミュニケーションやコラボレーション手段を使用する *1

識別 → 【防御】 → 検知 → 対応 → 復旧

・新しいサービスが必要なのか、それとも既存のサービスを拡張するだけなのかを検討する *6

・メールに電子署名する *1
・不審なメールを開いてはいけない *1
・個人のメールアカウントを使用してはいけない *1
・大きなファイルや動画をメールで送ってはいけない *1
・メールフィルタリングで悪意あるメールをブロックし、実行可能な添付ファイルを削除する *7

・会議が終了したらすぐに電話会議を切断する *1
・招待されていない電話やビデオ会議に参加してはならない *1
・連絡が取れるオフィス以外の電話番号もメールに記載することを検討する *1
・組織からの指定や許可無くオフィスの電話を外部に自動転送してはならない *1
・コミュニケーションやコラボレーションツールを使用し、携帯電話での共同作業を制限する *1
・指定された以外のインスタントメッセージングアプリで情報を共有してはならない *1
・電話会議の開始時間に変化をもたせ、00分など区切りの良い時間での開始を避ける *1

・個人のクラウド/ファイル共有アカウントを利用してはならない *1
・指定された以外のファイル共有サービス/機能でファイルを共有してはならない *1
・大容量ファイル/動画を共有する場合は指定のファイル共有システムを使用する *1
・P2P ネットワークでファイル共有する前に、セキュリティリスクを考慮する *3

− ユーザー −

識別 → 【防御】 → 検知 → 対応 → 復旧

・「職員限りの情報」「管理された情報」「未分類の情報」の違いを理解する *1
・「管理された情報」「未分類の情報」を投稿・保存、個人のメールに転送してはならない *1
・個人を識別可能な情報、保健医療情報を投稿・保存、個人のメールに転送してはならない *1
・個人を識別可能な情報、保健医療情報を暗号化せずに送信してはならない *1

・機密性の高いファイルを安全に保管する *2
・機密情報を正当な理由で自宅に持ち帰る場合、人目につかないよう鍵をかけて保存する *2
・自宅にファイルキャビネットが無い場合は、鍵のかけられる部屋を使用する *2
・機密データはシュレッダーにかけ安全に処分する。 *2

・システムの利用規約を理解し遵守する *1 *2
・スタッフの経験および提供しているアプリケーションに応じて、ガイドの作成を検討する *6
・スタッフの多くは既にストレスを抱えているため、新しいテクノロジーについて学べる
 理想的な状態にはないことを認識する*6
・新しいテクノロジーだけでなく、全く異なる方法で業務を行っていないかも確認する *6

・セキュリティ担当者がリモートアクセスのログの確認・攻撃の検知・
 インシデントへの対応・復旧といったタスクを行う準備ができていることを確認する
 NIST800-46 によると、これらのタスクは構成管理ポリシーに文書かされている必要がある *4
・IT サポートの可用性が低下すると、セキュリティ担当者の実行能力を含めた
 ビジネスオペレーションに影響が出ることがある *4
・ユーザが大幅に増加する可能性も想定した計画を立てる必要があり、
 提供する新しいサービスもサポートする必要がある *6
・平時のようにオフィスの同僚に助けを求められないかもしれない *6

識別 → 防御 → 【検知】 → 対応 → 復旧

・不審なメールを見つけた場合、メールボックスでスパム/迷惑メールとしてフラグを立てる *5
・安全ではない可能性があると判断した場合、メールプロバイダにその旨を伝える *5
・不審なメールを受け取った場合、NCSC の Suspicious Email Reporting Service に
 転送できる *5

識別 → 防御 → 検知 → 【対応】 → 復旧

・IT ヘルプデスクに電話する前に、知識の豊富な同僚に助けを求める *1
・ネットワークへの制限が業務を妨げる場合、IT ヘルプデスクに報告することをためらわない *1

・不審な事象や挙動は、指揮命令系統に報告する *1
・インシデント・フィッシング・マルウェア・その他のサイバーセキュリティに関する懸念を
 CISA に報告する *4
・職場のラップトップや携帯電話を使用している場合、その旨を IT 部門に共有する *5
・機器を紛失した場合、早急に報告する *6
・騙されて銀行情報を提供してしまった場合、その旨を銀行に報告する *5
・オンライン詐欺の被害に遭った可能性がある場合は、国家犯罪庁の Action Fraud に
 連絡することを推奨する *7
・NCSC は英国内の組織がサイバー耐性を高めるための情報を共有できる、
 サイバーセキュリティ情報共有パートナーシップ (CiSP) を支援している
 新しいマルウェア(特にランサムウェア)の影響を大幅に軽減できるように、
 技術情報や侵害の指標を共有することを奨励している *7

・スタッフが問題を報告する方法を知っていることを確認する *6
・誰に電話をかけるのか、サービス提供時間、緊急時の手順、展開方法を確認する *8
・インシデント対応計画を作成し実行する *7 *8
・リモートアクセスソリューションのサポートに適切な優先順位を設ける *8
・所属組織固有のサイバーセキュリティガイダンスに従う *1
・NCSC は Cyber Incident Response と呼ばれる商用スキームを運営しており、
 認定を受けた企業が被害を受けた組織への緊急サポートを提供している *7
・顧客やパートナーがこれらのリスクに対処していることを確認できるよう、
 NCSC の Cyber Essentials 認定取得を検討する *7

識別 → 防御 → 検知 → 対応 → 【復旧】

・金銭的損失を被った場合、銀行に報告し、
 国家犯罪庁の Action Fraud に犯罪として報告する *5

< 参照 >

*1 Do’s and Don’ts Network Utilization and Cybersecurity, DoD
*2 Online security tips for working from home, FTC
*3 Online Security, FTC
*4 Enterprise VPN Security, NIST
*5 Phishing attacks: dealing with suspicious emails and messages, NCSC
*6 Home working: preparing your organisation and staff, NCSC
*7 Mitigating malware and ransomware attacks, NCSC
*8 Top Tips for Cybersecurity when Working Remotely, ENISA
*9 Top 5 Tips for Working from Home Securely, SANS

※ それぞれの参照 URL や更新情報などは、前掲の INSIGHT and TIPS “在宅勤務 (WfH) 時代のリスクと対策 4Steps” をご覧ください。

− まとめ −

各フローを比較していく中で見えてきたことは、FTC, NIST, SANS では防御を高める領域にフォーカスしており、DoD, NCSC, ENISA では全域にわたる網羅性が高いということでした。

このことはそれぞれの優劣を示しているのではなく、それぞれを組み合わせていくことでより網羅性の高い立体的な指針を示すことができます。
例えば、NIST では技術的対応に焦点があてられていますし、ENISA では被雇用者の視点まで含まれています。

また、NCSC からはパンデミック以降複数のガイダンスが発行されているのと同時に、過去に発行されたガイダンスに関してもアップデートが行われていくことで、内容の充実が図られています。
対応・復旧に際しては関連する政府機関への連絡先を示すなど、より具体性のある内容にまとめられていることが特徴です。
ただし、英国内ではこれらの要求レベルが高いとする声も聞かれます。

逆に、非常にコンパクトにまとめられているのは SANS でした。中小企業などではまずここから始め、徐々にステップアップしていくという方法も考えられるでしょう。

今回比較検討したガイダンスには共通する部分も多く、また GDPR をはじめとした各種法規制や、日本のサイバーセキュリティ経営ガイドラインなどとも多くの部分で共通しています。

これらを参照して取り組んでいくことで事業継続のための在宅勤務遂行から、ポストパンデミックを見据えた前向きな IT活用を視野に入れた取り組みへと昇華していけることでしょう。

執筆者プロフィール

足立 照嘉 (TERUYOSHI ADACHI)
CyberDD, Director

ロンドンを拠点に活動するサイバーセキュリティ専門家。サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、国内外の通信会社や IT 企業などのサイバーセキュリティ事業者に技術供給およびコンサルティングを提供。大手外資系金融機関のサイバーセキュリティ顧問なども兼任。日本を代表する企業経営層からの信頼も厚い。また、サイバーセキュリティ関連技術への投資や経営参画なども行っている。

メディア出演や雑誌・ウェブへの執筆により啓発を行っており、著書である『サイバー犯罪入門』『GDPR ガイドブック』はいずれも Amazon ランキングで1位を獲得。大阪大学大学院工学研究科共同研究員。

お問い合わせ・ご相談はこちらから

©2019-2020 CyberDD All rights reserved. | PRIVACY NOTICE