米CISA、テレワークのためのセキュリティのベストプラクティス集を公開

© 株式会社マイナビ

United States Computer Emergency Readiness Team (US-CERT)は9月30日(米国時間)、「CISA Releases Telework Essentials Toolkit|CISA」において、アメリカのCybersecurity and Infrastructure Security Agency(CISA)がテレワークのためのベストプラクティスをまとめた「Telework Essentials Toolkit」を公開したことを伝えた。このベストプラクティスは、テレワークを実施する際にセキュリティ上の考慮すべき項目が参考リンク付きでまとめられている。

Telework Essentials Toolkitは次のサイトからダウンロードすることができる。

Telework Essentials Toolkitでは、社内における役割を次の3つに大別し、それぞれの役割に適した固有のセキュリティ上の考慮事項についてまとめている。

  • サイバーセキュリティ戦略、投資、文化を推進するエグゼクティブリーダー
  • セキュリティの認識と警戒の向上に務めるITプロフェッショナル
  • ホームネットワークを利用する在宅勤務者

例えば、エグゼクティブリーダー向けには次のような考慮事項が挙げられている。

  • 組織のサイバーセキュリティに関するポリシーと各種手順を見直す
  • 組織のサイバーセキュリティトレーニング要件を整備する
  • 組織の資産が従来の想定範囲を越えて移動することに対して、ポリシーの見直しや実施を行う
  • オフィスの従業員とリモートの従業員の両方の存在を考慮した包括的なサイバーセキュリティ文化を構築する

ITプロフェッショナル向けの項目としては、次のようなものがある。

  • ハードウェアおよびソフトウェアを最新の状態に保ち、常に新たな脆弱性に対処する
  • 従業員が組織の資産やネットワークに安全にアクセスできるように、エンタープライズ・サイバーセキュリティ・コントロールを実装する
  • 組織のシステムおよびサービスへのリモートアクセスに多要素認証を導入する
  • 安全に利用できる承認されたプロダクトのリストを作成し、ユーザーに向けた利用ガイダンスを提供する
  • バックアップを頻繁に実施し、オフラインおよびオフサイトに保存することで、ランサムウェア攻撃などから資産を保護する
  • ドメインベースのメッセージ認証システムを導入するなど、リモート作業におけるフィッシングなどのリスク増大に備える

在宅勤務者には、次のような項目に配慮するよう求めている。

  • Wi-Fiルータのデフォルトパスワードの変更など、ホームネットワークが適切に構成されていることを確認する
  • 機密データの安全な取り扱いについて注意を払い、組織のポリシーに従う
  • 電子メールの添付ファイルを開いたり、リンクをクリックしたりする際は、フィッシングなどの攻撃に十分注意する
  • 疑わしいアクティビティを発見した際は、組織のITセキュリティチームに迅速に伝達する

新型コロナウイルスの感染を防止するため、多くの組織が大規模なテレワークの体制を導入している。今後、この体制が長期化することも十分に考えられる。そのような中で十分なセキュリティを維持するために、各個人がどのような役割を果たすべきなのか、このツールキットが1つの指針になるだろう。