総務省のテレワークセキュリティガイドラインとは？チェックリストとの違いと読み方を解説

総務省のテレワークセキュリティガイドラインは、企業がテレワークを安全に進めるための考え方をまとめた資料です。読む順は、まずガイドライン、次にチェックリスト、必要なら実務記事、で考えると迷いにくくなります。

• ガイドライン：考え方を見る
• チェックリスト：まずやる対策を確かめる
• 実務記事：自社に当てはめて考える

個別の製品やベンダーに依存せずに考え方を示している点も、この資料の強みです。企業によってはVPNを使い、別の企業ではクラウド中心で進め、会社支給端末を原則にする場合もあれば、BYODを混ぜざるを得ない場合もあります。こうした違いを前提に、共通対策と方式別の注意点を切り分けて考えられます。

一方、中小企業では、専任の担当者がいない、予算が限られる、ITの担当者が少ないといった事情から、ガイドラインを読んでも何から始めればよいか見えにくいことがあります。そういうときに使いやすいのが「中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）」です。これは、セキュリティの専任担当者がいないような中小企業等のシステム管理担当者が、まず必要な対策を確認するための資料として使うと整理しやすくなります。

テレワークセキュリティガイドラインとは

このガイドラインは、テレワークを進めるときに何を見ればよいかを整理するための資料です。製品の比較表でも、事故例だけの資料でもありません。危ない点、方式ごとの差、共通して見るべき対策を一通り見渡すための土台として使います。

公的資料を読んでも動き方が見えにくいときは、まず全体像の記事で前提を確認し、そのあとで方式比較や選び方の記事へ進むと整理しやすくなります。安全対策の全体を先に確認したい場合はテレワークセキュリティの基本｜まず押さえるべき対策を整理、方式の違いや選び方を確認したい場合はテレワーク方式の比較やテレワーク方式の選び方へ進むと流れをつかみやすくなります。

まず押さえたい見方

この資料は、細かな項目だけを見るものではありません。何を先に見るかを決めるための土台として読むと使いやすくなります。

誰が読むか

システム担当者だけが読む資料ではありません。経営側、管理する側、実際に使う側で、見る点が少しずつ変わります。

7方式を見る

ガイドラインでは、テレワーク方式を7つに分けています。VPN、リモートデスクトップ、VDI、セキュアコンテナ、セキュアブラウザ、クラウドサービス、スタンドアロンです。方式が違えば、重く見るべき点も変わります。

ルール・人・技術を分けない

道具を入れるだけでも足りず、注意喚起だけでも足りません。ルール、人、技術をまとめて見る必要があります。

誰が持つかを決める

決める人、実施する人、確認する人が曖昧だと、対策は続きにくくなります。先に持ち分を分けておくほうが安全です。

版も見る

同じ名前の資料でも改訂されることがあります。公開ポータルでは、チェックリストは第3版（令和4年5月）として案内されています。社内へ回す前に、どの版を見ているかをそろえておく必要があります。

チェックリストの見方

チェックリストは、ガイドラインの代わりではありません。ガイドラインで考え方をつかみ、チェックリストで先にやることを確かめる、という順で使います。

この資料のよい点は、着手しやすいことです。方式ごとに何を見ればよいかが並んでいるため、人手や予算が限られていても動き出しやすくなります。

ただし、丸を付けるだけでは足りません。なぜその対策が要るのかを見ないまま進めると、形だけで終わります。たとえば、多要素認証を入れていても、重要なアカウントに入っていなければ意味は薄くなります。

使い方

チェックリストを使うときは、まず自社のテレワーク方式を確認し、その方式に合う項目を見ます。次に、未対応の項目を洗い出し、道具だけでなくルールや教育も含めて進め方へ落とします。その際、丸の数を増やすこと自体が目的にならないよう注意が必要です。大事なのは、続けられる形にすることです。

中小企業での読み替え

中小企業では、理想的な対策を一度に全部入れるのが難しいことがあります。だからといって、何もしない理由にはなりません。考え方の基本は、「難しい対策を後に回しても、土台の対策は外さない」ことです。

まず先にやること

• 許可した端末を把握する
• OSやソフトを更新する
• 認証を強くする
• 緊急時の連絡先と初動を決める
• 端末の暗号化と私物の端末の扱いを決める

こうした土台は、企業の規模にかかわらず外せません。

読む順番

1. まず、ガイドラインで全体の考え方と自社で見るべき論点を確認する
2. 次に、自社のテレワーク方式と端末の使い方を整理する
3. そのうえで、チェックリストで未対応の項目を洗い出す
4. 最後に、不足部分を自社の規程、運用ルール、ツール設定へ反映する

いきなり丸付けから入ると、形だけ整って実態が変わらない状態になりやすくなります。

ガイドライン・チェックリスト・実務記事の使い分け

公的資料は基準になりますが、そのままでは社内で使いにくいことがあります。ガイドラインで考え方を見て、チェックリストで抜けを確認し、実務記事で自社に当てはめる、という流れにすると進めやすくなります。

実務での読み進め方

たとえば、安全対策の全体を社内で説明したいなら、まずガイドラインで考え方を押さえ、そのあとでテレワークセキュリティの基本｜まず押さえるべき対策を整理のような総論記事で説明を補います。方式選定を進めるなら、ガイドラインの7方式を確認したうえで、テレワーク方式の比較やテレワーク方式の選び方へ進みます。公的資料で基準を確認し、実務記事で判断材料を増やす流れにすると使いやすくなります。

逆に、実務記事だけ読んで判断すると、便利な論点だけ拾って全体を見失いやすくなります。公的資料だけ読んで判断すると、抽象度が高くて動きにくくなります。両方を役割分担させるのが現実的です。

中小企業では、まずチェックリストで土台の対策の抜けを洗い出し、次にガイドラインで不足部分の考え方を補い、必要に応じて方式比較やBYOD判断の記事へ進む流れのほうが進めやすくなります。とくにBYODは、方式別の論点としてだけでなく、端末管理全体に関わるテーマとして見たほうが判断しやすくなります。

ガイドライン向きの論点

なぜルール・人・技術で考えるのか、なぜ役割分担が必要なのか、なぜ方式によって注意点が変わるのか、といった論点はガイドライン向きです。考え方の基準をつかむには、こちらを先に押さえたほうが迷いにくくなります。

チェックリスト向きの論点

一方で、端末を把握しているか、OS更新ができているか、認証を強くしているか、緊急時の連絡先を周知しているか、といった論点はチェックリスト向きです。考え方ではなく、実施状況を確かめるための項目です。

この切り分けができると、公的資料は使いやすくなります。考え方が曖昧なまま丸を付けると、根拠の薄い対策になりやすく、考え方だけ理解して確認をしなければ、運用は進みません。ガイドラインで方向を決め、チェックリストで実施状況を確かめる順に使うと、実務へつなげやすくなります。

また、資料を読んで終わりにしないためには、社内で誰がどの項目を担当するかを割り振る必要があります。経営者が見る項目、管理者が更新する項目、従業員へ周知する項目を分けるだけでも、資料の読み方は変わります。公的資料は、読んで終わりではなく、運用へ反映して初めて意味が出ます。

補足すると、ガイドラインを読む目的は満点を取ることではありません。自社の弱点を見つけることです。未対応の項目が多いこと自体を恐れる必要はなく、重要なのは優先順位を付けて一つずつつぶしていくことです。

資料を読んだあとに、実際の運用が変わったかまで確認できていれば、この読み方は大きく外れていません。

まとめ

総務省のテレワークセキュリティガイドラインは、考え方を見る資料です。チェックリストは、まずやる対策を確かめる資料です。二つを同じものとして読むより、役割を分けたほうが使いやすくなります。

まずガイドラインで方向を見て、次にチェックリストで抜けを洗い出し、必要なら実務記事で自社の運用へ落とします。この順で進めると、読みっぱなしで終わりにくくなります。

要は、資料を読むこと自体ではなく、読んだあとに何を変えるかが大事です。自社の方式、端末、担当、連絡の流れまで見直せていれば、この資料の使い方は大きく外れていません。

よくある質問