IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
テレワークセキュリティガイドライン第5版とは?チェックリストとの違いと使い方
目次
総務省の「テレワークセキュリティガイドライン(第5版)」は、企業がテレワークを安全に導入・運用するための基準資料です。テレワークの形態、セキュリティ対策の考え方、経営者・システム・セキュリティ管理者・テレワーク勤務者の役割、7種類の方式、基本対策と発展対策、トラブル事例を確認できます。
一方、「中小企業等担当者向け テレワークセキュリティの手引き(チェックリスト)」は、ガイドラインを補う実務資料です。予算や専任体制が十分ではない組織でも、方式や端末条件に応じて、優先的に対応すべき項目を確認しやすく作られています。
要点を先に言えば、方針、方式、役割分担、対策の背景を理解するならガイドライン、現在の未対応項目を洗い出すならチェックリストを使います。どちらか一方で済ませるのではなく、ガイドラインで前提をそろえ、チェックリストで現状を点検し、社内ルールと改善計画へ落とし込む流れが現実的です。特に社外から業務環境へアクセスする設計では、利用者本人の確認だけでなく、許可された端末かどうかの確認も重要になります。多要素認証や端末認証を組み合わせ、必要に応じてデジタル証明書を使うかどうかも検討対象に含めます。
この記事では、ガイドライン第5版と中小企業等向け手引きの違い、読む順番、7方式と8方式の関係、社内運用へ落とし込むときの確認点を整理します。全体のセキュリティ対策から確認したい場合は、先にテレワークセキュリティの基本を読むと、このページの位置づけを把握しやすくなります。
| 資料・記事 | 主な役割 |
| ガイドライン第5版 | 方式、リスク、役割分担、基本対策、発展対策、トラブル事例を把握する |
| 中小企業等向け手引き | 自社の方式と端末条件に合わせて、最低限必要な対策の未対応項目を洗い出す。認証強化、端末管理、データ保存、ログ、事故時連絡先も確認する |
| このクラスター内の記事 | 公的資料の内容を、方式比較、方式選定、ルール整備、BYOD対応へ変換する |
一次情報として押さえる範囲
この記事で扱う一次情報は、単なる参考リンクではありません。総務省ガイドライン第5版は、方式選定、役割分担、共通対策、発展対策、トラブル事例を確認する基準資料です。中小企業等向け手引きは、方式と端末条件に応じて、最低限必要な対策を確認する実務資料です。両者の役割を分けて読むことで、抽象的な方針と現場のチェック作業をつなげられます。
| 確認する資料 | 本文で反映すべき論点 |
| ガイドライン第5版 | 7種類のテレワーク方式、方式選定フローチャート、方式別の特性比較、経営者・管理者・勤務者の役割、基本対策と発展対策、13分類の対策、トラブル事例。 |
| 中小企業等向け手引き | 会社支給端末と個人所有端末の違い、8方式の確認、優先度◎・○のチェック項目、資産・構成管理、マルウェア対策、アクセス制御、脆弱性管理、通信暗号化、データ保護、アカウント・認証管理などの確認。社外アクセスでは、長く複雑なパスワードだけでなく、多要素認証や端末認証の適用可否も見る。 |
| 社内運用への変換 | 方式、端末条件、扱う情報、利用者、例外運用、担当者、期限、教育、事故時連絡先を社内ルールへ落とす。 |
特に重要なのは、ガイドライン第5版の「基本対策」と「発展対策」を混同しないことです。すぐに整えるべき基本対策と、予算や体制を見ながら段階的に強化する対策を同じ優先度で扱うと、現場の対応順が曖昧になります。チェックリストを使う場合も、単に丸を付けるのではなく、未対応項目を対応計画へ変換する必要があります。
ガイドラインとチェックリストの位置づけ
ガイドラインとチェックリストは、どちらもテレワークセキュリティを扱います。ただし、読む目的は違います。ガイドラインは「なぜその対策が必要なのか」を理解するための資料です。チェックリストは「自社で何が未対応なのか」を見つけるための資料です。
総務省のガイドライン第5版では、テレワークを取り巻くリスク、ルール・人・技術のバランス、経営者・システム・セキュリティ管理者・テレワーク勤務者の役割、クラウドサービスやゼロトラストの考え方、7種類のテレワーク方式、共通対策、トラブル事例が扱われています。判断の前提を広く押さえる資料だと考えると分かりやすいでしょう。
中小企業等向けの手引きは、ガイドラインを補う資料です。予算や専任体制が十分でない組織でも取り組みやすいように、優先的に実施すべき対策を方式ごとのチェックリストに落とし込んでいます。すぐに点検したい場合は有効ですが、チェック欄に丸を付けるだけで終えると、対策の背景や例外条件を確認しきれません。たとえば「認証を強化する」といっても、パスワードルールの見直し、多要素認証の適用、端末認証、デジタル証明書の利用可否では、必要な準備も運用負荷も変わります。
| 観点 | 内容 |
|---|---|
| 主な目的 | ガイドライン第5版:方式、役割、対策分類、トラブル事例を理解する 中小企業等向け手引き:方式ごとに最低限必要な対策状況を点検する |
| 想定読者 | ガイドライン第5版:経営者、システム・セキュリティ管理者、テレワーク勤務者を含む幅広い組織 中小企業等向け手引き:中小企業等でシステム・セキュリティ管理を担う担当者 |
| 向いている場面 | ガイドライン第5版:新規設計、方式変更、経営層への説明、対策方針の見直し 中小企業等向け手引き:既存環境の点検、未対応項目の洗い出し、短期の改善計画づくり |
読む順番は導入段階で変える
読む順番に固定の正解はありません。新規導入、既存環境の点検、方式変更、BYOD拡大では、最初に見る資料が変わります。
| 状況 | 内容 |
|---|---|
| これから設計する | 最初に使う資料:ガイドライン 理由:方式、役割、共通対策を先にそろえる必要があるため |
| 既存環境を点検する | 最初に使う資料:チェックリスト 理由:未対応項目を早く見つけ、担当と期限へ落とせるため |
| 方式を変更する | 最初に使う資料:ガイドライン+方式比較 理由:端末保存、認証、ログ、通信品質の前提が方式ごとに変わるため |
| BYODを広げる | 最初に使う資料:手引き+BYOD記事 理由:会社支給端末とは別に、私物端末の統制条件を決める必要があるため |
急いで点検したいときは、チェックリストから入って構いません。ただし、未対応項目が出た時点でガイドラインへ戻り、なぜ必要なのか、どの方式に関係するのかを補います。ここを飛ばすと、対策が単なるチェック作業で止まります。
7方式と8方式を混同しない
このテーマで最も誤解が起きやすいのが、方式分類の違いです。ガイドライン第5版は7方式で説明します。一方、中小企業等向け手引きは、会社支給端末と個人所有端末を分け、実務でチェックしやすい8方式として整理しています。この差分を混ぜると、方式別記事や社内説明で内容が崩れます。
ガイドライン第5版の7方式
ガイドライン第5版では、基本的なテレワーク方式として次の7種類が整理されています。
方式ごとの特徴を横並びで確認する場合は、テレワーク方式の比較へ進んでください。自社条件から方式を絞る場合は、テレワーク方式の選び方が次の確認先です。
中小企業等向け手引きの8方式
中小企業等向け手引きでは、ガイドラインと違う切り口を採ります。中小企業等には導入が難しい「仮想デスクトップ(VDI)方式」と「セキュアコンテナ方式」を除き、会社支給端末か個人所有端末かを分けたうえで、VPN/リモートデスクトップ方式、クラウドサービス方式、スタンドアロン方式、セキュアブラウザ方式を確認します。
| 整理方法 | 分類の考え方 |
| ガイドライン第5版 | システム構成方式として7方式を整理する |
| 中小企業等向け手引き | 会社支給端末と個人所有端末を分け、点検しやすい8方式で整理する |
どちらが正しい、という話ではありません。目的が違います。方式の全体像や比較を確認するならガイドライン、実際に自社の端末条件でチェックするなら手引き、という使い分けです。
ガイドラインで確認する主要論点
ガイドラインを読むときは、全文を機械的に追うより、自社の判断に関係する論点を分けて確認します。特に、方式、役割、ルール・人・技術、対策分類、トラブル事例は外せません。
方式ごとのリスク
VPN方式では社内ネットワークへ入る範囲、リモートデスクトップ方式では接続先PCの管理、クラウドサービス方式ではアカウントと共有設定、スタンドアロン方式では持ち出しデータと外部記録媒体が問題になりがちです。同じ「テレワーク」でも、重点対策は方式ごとに変わります。社外から接続する方式では、ID・パスワードだけに依存せず、多要素認証や端末確認を組み合わせる設計が必要です。端末を強く確認したい場合は、デジタル証明書も有力な選択肢になります。
経営者・管理者・勤務者の役割
経営者は方針、予算、責任者、リスク許容度を示します。システム・セキュリティ管理者は、端末、アカウント、権限、ログ、教育、事故対応を具体化します。勤務者はルールを守り、端末や認証情報を適切に扱い、異常を報告します。役割を分けないと、対策は導入されても続きません。
ルール・人・技術のバランス
端末の持ち出し、クラウド共有、オンライン会議、印刷、保存、事故報告はルールで定めます。不審メールや共有ミスを防ぐには教育が必要です。認証、端末管理、暗号化、ログ、アクセス制御は技術で支えます。認証についても、利用者本人の確認、多要素認証、端末の正当性確認を分けて考えます。どれか一つだけに寄せると、別の穴が残ります。
基本対策と発展対策
ガイドライン第5版では、一般的に普及しており基本的に取り組むことが求められる対策と、一定の予算や体制がないと実施が難しいものの、さらにセキュリティ向上が見込める対策が分けて示されています。社内計画では、この違いを優先順位に反映します。全部を同じ重要度で並べると、実施順が見えなくなります。
13分類の対策を社内項目へ変換する
ガイドライン第5版の対策分類は、ガバナンス・リスク管理、資産・構成管理、脆弱性管理、特権管理、データ保護、マルウェア対策、通信の保護・暗号化、アカウント・認証管理、アクセス制御・認可、インシデント対応・ログ管理、物理的セキュリティ、脅威インテリジェンス、教育に分かれます。
本文や社内資料へ反映するときは、これらを用語一覧として扱うだけでは足りません。「誰が」「どの方式で」「どの情報を守るために」「どの証跡を残すのか」まで落とし込む必要があります。アカウント・認証管理では、どのサービスに多要素認証を必須化するのか、どの端末を許可するのか、証明書を使う場合は発行・更新・失効を誰が担うのかまで決めます。
チェックリストを運用へ落とす手順
チェックリストは、対応済みかどうかを確認して終わる資料ではありません。未対応項目を発見し、対応計画に変えるために使います。
中小企業等向け手引きは、テレワークの導入・利用に必要となるシステムや機器を中心に確認する資料です。オフィスネットワーク全体のセキュリティ対策まで一冊で完結するものではありません。チェックリストで未対応項目を洗い出した後は、既存の情報セキュリティ規程、クラウド利用ルール、端末管理台帳、インシデント対応手順と突き合わせます。
自社の方式と端末条件を先に分ける
まず、社内ネットワークへ接続するのか、社内PCを遠隔操作するのか、クラウドサービスを使うのか、端末へデータを保存するのかを見ます。次に、会社支給端末だけか、個人所有端末も使うのかを分けます。ここが曖昧なままチェックすると、誰にどの対策を適用するのかがぼやけます。
未対応項目に担当と期限を付ける
未対応項目を見つけたら、対応済み・未対応の分類で止めず、担当者、期限、対応内容、例外条件まで決めます。例えば認証強化が未適用なら、対象サービス、対象者、適用日、例外を認める条件、利用者への周知方法まで必要です。多要素認証を必須にするのか、端末認証まで求めるのか、デジタル証明書を使う場合に失効処理まで運用できるのかも確認します。
後回しにしにくい項目を分ける
一度にすべてを高い水準へ上げるのが難しい場合でも、次の項目は先送りしにくい領域です。
- テレワークで使う端末と利用者を把握しているか
- テレワークで扱う重要情報と保存先を把握しているか
- OS、ブラウザ、業務アプリを更新できているか
- 社外から使うアカウントに、多要素認証や端末認証などの強い認証を適用しているか
- 重要データの保存先、印刷、ダウンロードの可否を定めているか
- 端末紛失や不審メール受信時の連絡先を周知しているか
- 退職者や異動者のアカウントを停止する手順があるか
- 私物端末を使う場合の条件を明文化しているか
チェックリストの目的は、対策項目を増やすことではありません。社外勤務で事故になりやすい穴を見つけ、実際に閉じることです。
労務管理の資料と混ぜない
テレワークには、セキュリティだけでなく、労務管理、就業規則、費用負担、労働時間管理、安全衛生も関係します。厚生労働省の資料は、こうした労務管理上の留意点を確認するための公的資料です。
ただし、労務管理の資料とセキュリティ資料は、役割が違います。労働時間管理や費用負担、就業場所の明示を決めるときは厚生労働省のガイドラインを参照します。端末、認証、ネットワーク、クラウド、データ保護、インシデント対応を決めるときは、総務省のテレワークセキュリティガイドラインと中小企業等向け手引きを参照します。
| 確認したいこと | 主に参照する資料 |
| 労働時間、費用負担、就業規則 | 厚生労働省のテレワーク関連ガイドライン、Q&A、モデル就業規則 |
| 端末、認証、データ、ネットワーク | 総務省のテレワークセキュリティガイドライン第5版 |
| 中小企業での最低限の点検 | 中小企業等担当者向けテレワークセキュリティの手引き |
社内ルールを作るときは、この切り分けが重要です。セキュリティの話だけでテレワーク制度を決めると、労働時間や費用負担の整理が抜けます。反対に、労務管理だけで制度を整えると、端末管理や認証、データ保護が弱くなります。
社内展開で失敗しやすいポイント
資料を読んだだけで終わる
公的資料を読んでも、社内で誰が何を変えるのかが決まらなければ実装には進みません。読後には、未対応項目、対応担当、期限、必要な予算、利用者への周知方法をまとめます。
方式を確認せずに対策を選ぶ
同じテレワークでも、VPN方式とクラウドサービス方式では重点対策が違います。方式を確認せずに対策を選ぶと、必要な設定が抜けたり、効果の薄い対策に工数を使ったりします。
例外運用を放置する
一時的な私物端末利用、社外からの緊急アクセス、外部共有、管理者の例外権限は事故の起点になりやすい領域です。例外を認める場合は、承認者、期限、対象範囲、記録方法を残します。認証を一時的に弱める、証明書のない端末を許可する、退職者や委託先のアカウントを残す、といった例外は特に危険です。
見直しのタイミングを決めていない
テレワーク環境は固定ではありません。利用サービスの追加、従業員の増減、クラウド利用の拡大、BYODの導入、拠点変更があれば、対策も変わります。チェックリストは初回導入時だけでなく、運用変更時の確認にも使います。
次に読む記事
| 確認したいこと | 次の記事 |
| テレワークセキュリティの全体像 | テレワークセキュリティの基本 |
| 方式ごとの違い | テレワーク方式の比較 |
| 自社に合う方式 | テレワーク方式の選び方 |
| 私物端末の扱い | BYODでテレワークを行う場合 |
参考情報
まとめ
テレワークセキュリティガイドライン第5版は、方式ごとの違い、役割分担、基本対策と発展対策、トラブル事例を確認するための基準資料です。中小企業等向け手引きは、その考え方を自社の方式や端末条件に当てはめ、未対応項目を見つけるために使います。社外アクセスを含む環境では、通信経路だけでなく、利用者と端末をどう確認するかが重要です。多要素認証やデジタル証明書は、その確認を強化する選択肢として検討できます。
これから設計する段階ではガイドライン、すでに運用している環境の弱点を探す段階ではチェックリストから入ると無理がありません。ただし、どちらか一方で終わらせないこと。ガイドラインで前提を押さえ、チェックリストで現状を把握し、実務記事で比較・選定・運用へつなげることで、社内判断に使える材料になります。
よくある質問
Q.テレワークセキュリティガイドライン第5版は何を確認する資料ですか?
A.テレワーク方式の違い、リスクの考え方、経営者・システム・セキュリティ管理者・テレワーク勤務者の役割、基本対策と発展対策、トラブル事例を確認する資料です。個別の設定作業に入る前に、自社の方式、守る情報、責任分担を整理する基準として使います。
Q.中小企業等担当者向けの手引きは何に使いますか?
A.専任のセキュリティ担当者がいない組織でも、方式や端末条件に応じて最低限必要な対策を確認するために使います。未対応項目を洗い出し、担当者、期限、対応内容へ落とし込む用途に向いています。
Q.ガイドラインとチェックリストはどちらを先に読むべきですか?
A.新しく設計する段階ではガイドラインから入り、方式や役割分担を押さえます。すでに運用している環境を点検する段階では、チェックリストから始めても構いません。その場合も、未対応項目の背景はガイドラインで補います。
Q.7方式と8方式の違いは何ですか?
A.ガイドライン第5版は、VPN方式、リモートデスクトップ方式、VDI方式、セキュアコンテナ方式、セキュアブラウザ方式、クラウドサービス方式、スタンドアロン方式の7方式で整理しています。中小企業等向け手引きは、会社支給端末と個人所有端末を分け、VDI方式とセキュアコンテナ方式を除く形で8方式として扱います。
Q.チェックリストだけ対応すれば十分ですか?
A.十分とは言えません。チェックリストは未対応項目の発見に役立ちますが、方式変更、BYOD拡大、クラウド利用拡大、経営層への投資説明では、ガイドラインに戻ってリスクや役割分担を確認する必要があります。
Q.中小企業では最初にどの項目を確認すべきですか?
A.許可端末の把握、重要情報の把握、OSやアプリの更新、認証の強化、データ保存ルール、紛失時の連絡先、退職者アカウントの停止、私物端末の利用条件から確認します。認証強化では、多要素認証、端末認証、必要に応じたデジタル証明書の利用可否を確認します。
Q.ガイドラインはシステム部門だけが読めばよいですか?
A.システム部門だけでは足りません。経営者は方針や予算を示し、システム・セキュリティ管理者は設定や運用を具体化し、勤務者はルールを守って異常を報告します。人事、総務、現場管理者も関係します。
Q.BYODがある場合はチェック方法が変わりますか?
A.変わります。私物端末は会社支給端末より統制しにくいため、OS更新、暗号化、家族共用の有無、業務データの保存、紛失時対応、退職時の削除手順を別条件として確認します。
Q.チェックリストの未対応項目はどう扱うべきですか?
A.未対応として記録するだけでなく、担当者、対応期限、必要な設定、利用者への周知、例外条件まで決めます。特に認証、端末管理、ログ、事故対応は、担当と期限がないまま残すと運用上の穴になります。多要素認証や証明書の失効など、日常運用に関わる項目は後回しにしない方が安全です。
Q.社内説明に落とし込むにはどうすればよいですか?
A.自社の方式、端末条件、対象業務、扱う情報、未対応項目を一枚の表にします。そのうえで、ガイドラインを根拠、チェックリストを現状確認、方式比較記事を選定理由として使うと、経営層や現場へ説明しやすくなります。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
