2020年4月9日トレノケート主催「【オンライン】セキュアなテレワークの実現」セミナー資料

1. オンラインLIVE
～特別編～
セキュアなテレワーク実現に向けて
～改めて考えるセキュリティ対策～
トレノケート株式会社
ラーニングサービス本部
井田 潤

2. ◼ テレワークは業務効率化の実現だけでなく事業継続計画(BCP :
Business Continuity Plan) の一環解として再び脚光を浴びはじめまし
た。
◼ 一方、セキュリティ上の懸念から導入には慎重な姿勢もあります。実際、
セキュリティ事故を被った企業は株価下落や純利益の損失など、厳しい
状況に置かれます。そのため、セキュティ対策はセキュリティ管理者だ
けの問題ではなく、経営者層を含めた全社員の課題として、正しく取り
組んでいくことが必要です。
◼ 本セミナーでは、セキュアなテレワーク実現に向けて効果的なセキュリ
ティ対策を考察します。
Prologue

3. 自己紹介
◼井田 潤 （いだじゅん）
⚫ トレノケート株式会社
- EC-Council Certified Network Defender (CND:認定ネットワークディフェンダー）
- EC-Council Certified Ethical Hacker （CEH:認定ホワイトハッカー）
- Trend Micro Certified Trainer
◼ 過去の経歴
⚫ 国内キャリア系SIer
⚫ 国内スタートアップ企業
⚫ 外資系ソフトウェアベンダ
⚫ 外資系アプリケーションサービスプロバイダ
⚫ 総合商社
⚫ 外資系セキュリティベンダ
⚫ 外資系ITベンダ
◼ 社外活動
⚫ 日本ネットワークセキュリティ協会 (JNSA)会員
⚫ 情報セキュリティ教育事業者連絡会（ISEPA)会員
- https://www.jnsa.org/isepa/
- JTAG 認定WG、キャリアWG コアメンバー
⚫ クラウドセキュリティアライアンス(CSA)会員
⚫ 勉強会：トレノケ「雲の会」
- https://kumonokai.connpass.com/
- コアメンバー

4. ◼ セキュリティ対策の基礎
◼ テレワーク・セキュリティ
⚫ 情報通信白書
⚫ テレワークセキュリティガイドライン
⚫ ガイドラインから見るリスク軽減対策
⚫ 最新の脅威
◼ まとめ
◼ 参考情報
Agenda

5. セキュリティ対策の基礎

6. ◼ セキュリティ対策
⚫ 「情報資産」を安全に守るための施策
- 資産＝組織にとって「価値をもつもの」、「情報」も資産の一
部
• 顧客情報、営業情報、製品開発情報、個人情報、企業イメージ、
システム構成 等
- 「漏えい、改ざん、破壊」等により、組織に多大な被害を及ぼ
すもの
- 様々な形態で組織に存在する
• 保存データ、磁気媒体、通信データ、ウェブサイトの更改情報、
紙媒体、会話、記憶 等
セキュリティ対策とは
データ
ベース 通信データ
会話
保存データ
紙媒体
磁気媒体 Webサイト等の
公開情報
情報資産例

7. 機密性・完全性・可用性
セキュリティの
3要素
機密性
（Confidentiality）
情報漏えい対策など
完全性
（Integrity）
改ざん防止対策など
可用性
（Availability）
障害対策など

8. ◼ 情報資産の性質から見た機密性・完全性・可用性
⚫ 個人情報
- 非公開情報であり機密性が求められる
⚫ 会社の住所情報
- 公開されている情報なので個人情報ほど機密性は求められ
ない
⚫ 見積書
- 間違いは大変なので完全性が求められる
⚫ 経費精算システム
- 使いたいときに使えないと大変なので可用性が求められる
※情報資産の性質によって機密性、完全性、可用性
の要求レベルは異なる
セキュリティはバランス

9. ◼ 脅威
⚫ Threat
- システム又は組織に危害を与える事故の潜在的原因
- 物理的脅威
• 事故，災害，故障，破壊，盗難，不正侵入 ほか
- 技術的脅威
• 不正アクセス，盗聴，なりすまし，改ざん，エラー，シス
テム破壊 ほか
- 人的脅威
• 誤操作，紛失，破損，盗み見，不正利用，ソーシャルエン
ジニアリング（人を騙す） ほか
◼ 脆弱性
⚫ Vulnerability
- 脅威を引き起こす要因となる弱点
脅威・脆弱性

10. ◼ 脅威の傾向
⚫ 愉快犯からビジネス化へ
- 組織への影響が増大
◼ メール利用時の脅威
⚫ 不正な添付ファイル
⚫ 不当な広告や勧誘を行うスパムメール
⚫ 不当なプログラムをダウンロードさせるウェブサイトへの誘導
⚫ フィッシング
⚫ 利用者の不安を煽るデマ
⚫ 誤送信
⚫ 標的型攻撃
◼ ウェブサイトアクセス時の脅威
⚫ 改ざんサイト
⚫ ワン（ツー）クリック詐欺
⚫ フィッシングサイト
⚫ 偽マルウェア対策ソフト
⚫ 脆弱性のあるサイト
インターネット利用時に個人が注意すべき脅威

11. ◼ 情報セキュリティのリスク
⚫ 脅威が情報資産の脆弱性を利用して、情報資産への損失
又は損害を与える可能性のこと
⚫ 脅威、脆弱性、資産（価値）が下がればリスクも下がる
リスク
リスク値＝脅威 x 脆弱性 x 情報資産(価値)
※定性的リスク評価

12. ✓一般的に全資産を持ち歩くことはしません
✓必要な分だけ持ち歩いたり、分散して管
理します
✓「脅威（財布を掏る)」によって「脆弱性
(隙があった)」を狙われても該当の「資
産」価値が下がっているので「リスク」も
下がる
✓銀行や貸金庫に預け、決済はクレジット
カードを利用したりします
✓「資産」を持ち歩かないことにより「リス
ク」をクレジットカードに「移転」してい
る（クレジットカードが盗まれてもカード
停止や保険で対処）
貴方のお財布の中には全資産が入っていますか？

13. ✓一般的に現金書留で普通の手紙を送ること
はありません
✓現金書留は金銭という価値のあるものを
送付する為に沢山の手間をかけ料金も割
高なのでコストがかかります
✓普通の手紙は万一紛失しても大きな影響
はないため、現金書留のようにコストを
かける必要はありません
✓「リスク対応」のためのコストはその資産
の価値よりも低く設定しないと意味があり
ません
現金書留で普通の手紙を送りますか？

14. ✓一般的に風邪をひいたことがない人はいま
せん
✓風邪をひかないように予防接種や体力を
つけるなどします
✓風邪をひいてしまった場合には病院に
いって薬を貰ったり、安静にして治すよ
うにします
✓「脅威（風邪のウイルス）」と「脆弱性」（人間
がウイルスに感染すること）はゼロにすることが
困難です
✓そのため、防ぎきれないものについては「予防」、
発生してしまった場合には「対応」が必要です
風邪をひいたことがありますか？

15. ◼ リスク対策例
⚫ マルウェア※感染からパソコン(PC)を保護するためにア
ンチマルウェアソフトを導入する
- PCの脆弱性を下げる
⚫ 誤操作を防止するために手順書を作成し確認しながら作
業する
- 誤操作の脅威を下げる
⚫ 収集したアンケート情報から個人情報を削除する
- （個人情報を無くし）情報の価値（重要度）を下げる
具体策
※悪意ある動作をするプログラムの総称。

16. ◼ 容易な持ち出し禁止
⚫ 組織の情報資産を許可なく持ち出さない
⚫ 許可が得られても厳重に管理する
◼ 安易な放置禁止
⚫ 組織の情報資産を未対策のまま目の届かないところに放置しない
◼ 安易な廃棄禁止
⚫ 組織の情報資産を未対策のまま廃棄しない
◼ 不要な持ち込み禁止
⚫ 私物の機器類やプログラム等のデータを許可なく組織に持ち込まな
い
◼ 鍵を掛け、貸し借り禁止
⚫ 個人に割り当てられた権限を許可なく他の人に貸与または譲渡しな
い
◼ 公言禁止
⚫ 業務上知り得た情報を許可なく公言しない
◼ まず報告
⚫ 情報漏えいを起こしたら、自分で判断せずにまず報告
個人が行う組織のリスク対策例

17. テレワーク・セキュリティ

18. 情報通信白書（平成30年版)
出典：総務省｜平成30年版 情報通信白書｜PDF版
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/index.html

19. 情報通信白書（平成30年版)
出典：総務省｜平成30年版 情報通信白書｜PDF版
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/index.html
労働生産性＝（営業利益＋人件費＋減価償却費）÷従業員数により算出

20. 情報通信白書（平成30年版)
出典：総務省｜平成30年版 情報通信白書｜PDF版
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/index.html
CIO、CDOの存在がみら
れる組織はテレワーク
導入が進んでいる
2020年は COVID-19 が牽引？

21. 情報通信白書（平成30年版)
出典：総務省｜平成30年版 情報通信白書｜PDF版
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/index.html
テレワーク導入が進んでい
いるとはいえない

22. 情報通信白書（平成30年版)
出典：総務省｜平成30年版 情報通信白書｜PDF版
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/index.html
BCP(事業継続)を
導入目的として
る企業は少ない

23. 佐賀県庁（佐賀県）
（1）背景
患者搬送時間の長時間化や、特定の大病院への搬送集中、さらには救急医療の現場の疲弊や若い人
材が確保できないなど、救急医療の問題を解決する必要があった。また、災害や新型インフルエン
ザ等蔓延時の業務継続や、職員の多くを占める介護世代や若い女性の子育てなどによる離職低減の
ため、ワークスタイル変革と業務効率改善が必要であった。
（2）導入したICTの概要
ア 救急車へのタブレットの導入
救急車にタブレットを設置し、医療機関ごとの現時点での専門医の対応可否状況や、受入/受入不
可の搬送実績をリアルタイムに可視化できるシステムを導入した。
イ テレワークの導入
CIOのもと、スマートデバイスの配備等の設備面や、仮想デスクトップや各種アプリなどの技術面
の両面から環境を整備し、嘱託職員を含む全職員4000人分のテレワーク環境を構築した。端末や技
術の導入にとどまらず制度面も整備し、モバイルワークや在宅勤務を実施しやすい組織風土の醸成
を行った。実際に、開始月から毎月3000件のテレワーク利用実績があった。
（3）ICTによる効果
ア 救急車へのタブレットの導入
救急車の救急搬送時間を34.4分から33.3分に短縮することができた。また、搬送実績のデータを分
析し、新施策の立案に活用している。
イ テレワークの導入
テレワーク導入前と比較して、1カ月あたりの隙間時間の活用が3倍になり、業務の持ち帰り対応回
数が約49％削減された。また、復命書の作成時間も50％削減され、業務効率が改善した。
情報通信白書（平成30年版)
出典：総務省｜平成30年版 情報通信白書｜PDF版
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/index.html

24. 情報通信白書（平成30年版)
出典：総務省｜平成30年版 情報通信白書｜PDF版
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/index.html
一定層でセキュリティ
の課題を感じている

25. ◼ 分類：
⚫ 自営型テレワーク
⚫ 雇用型テレワーク
- 企業の 13.9% が導入
◼ 雇用型テレワークの分類
⚫ 在宅勤務 29.9%
⚫ モバイルワーク 56.4%
⚫ サテライトオフィス勤務 12.1%
情報通信白書（平成30年版)
出典：総務省｜平成30年版 情報通信白書｜PDF版
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/index.html
本日の
お話

26. テレワークセキュリティガイドライン

27. 情報通信白書（平成30年版)
出典：総務省｜平成30年版 情報通信白書｜PDF版
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/index.html
一定層でセキュリティ
の課題を感じている

28. テレワークセキュリティガイドライン第4版
出典：テレワークセキュリティガイドライン 第4版 総務省 別紙3
https://www.soumu.go.jp/main_content/000545372.pdf

29. テレワークの６種類のパターン
出典：テレワークセキュリティガイドライン 第4版 総務省 別紙3
https://www.soumu.go.jp/main_content/000545372.pdf

30. ガイドラインから見るリスク軽減対策

31. 1. テレワークにおける情報セキュリティ対策の考え方
2. テレワークセキュリティ対策のポイント
（ウ）テレワーク勤務者が実施すべき対策
3. テレワークセキュリティ対策の解説
（ア）セキュリティ保全体制の大枠
（イ）マルウェアに対する対策
（ウ）端末の紛失・盗難に対する対策
（エ）重要情報の盗聴に対する対策
（オ）不正アクセスに対する対策
（カ）外部サービスの利用に対する対策
テレワーク勤務者が参照すべき項目の一覧
出典：テレワークセキュリティガイドライン 第4版 総務省 別紙3
https://www.soumu.go.jp/main_content/000545372.pdf
ルール・人・技術

32. （情報セキュリティ保全対策の大枠）
1. テレワーク作業中は、利用する情報資産の管理責任を自らが負うことを自覚し、情報セ
キュリティポリシーが定める技術的・物理的及び人的対策基準に沿った業務を行い、定
期的に実施状況を自己点検する。
2. テレワークで扱う情報について、定められた情報のレベル分けとレベルに応じたルール
に従って取り扱う。
3. 定期的に実施される情報セキュリティに関する教育・啓発活動に積極的に取り組むこと
で、情報セキュリティに対する認識を高めることに務める。
4. 情報セキュリティ事故の発生に備えて、直ちに定められた担当者に連絡できるよう連絡
体制を確認するとともに、事故時に備えた訓練に参加する。
（悪意のソフトウェアに対する対策）
5. マルウェア感染を防ぐため、ＯＳやブラウザ（拡張機能を含む）のアップデートが未実
施の状態で社外のウェブサイトにはアクセスしない。
6. アプリケーションをインストールする際は、システム管理者にその旨を申請し、許可を
受けたアプリケーションのみをインストールする。（私用端末利用の場合）テレワーク
で利用する端末にインストールするアプリケーションは、安全性に十分留意して選択す
る。
7. 作業開始前に、テレワーク端末にウイルス対策ソフトがインストールされ、最新の定義
ファイルが適用されていることを確認する。
8. 作業開始前に、テレワーク端末のＯＳ及びソフトウェアについて、アップデートが適用
され最新の状態であることを確認する。
9. テレワークにはルールに定められた情報セキュリティ対策が適用されているものを使用
し、スマートフォン、タブレット等に関しては不正な改造（脱獄、root 化等）を施さな
い。
10. テレワーク作業中にマルウェアに感染した場合、その報告漏れや遅れが被害拡大につな
がる恐れがあることを自覚し、電子メールの添付ファイルの開封やリンク先のクリック
に一層の注意を払う。
テレワーク勤務者が実施すべき対策
出典：テレワークセキュリティガイドライン 第4版 総務省 別紙3
https://www.soumu.go.jp/main_content/000545372.pdf

33. （端末の紛失・盗難に対する対策）
11. オフィス外に情報資産を持ち出すとき、その原本を安全な場所に保存しておく。
12. 機密性が求められる電子データを極力管理する必要が無いように業務の方法を工夫する。
やむを得ない場合は必ず暗号化して保存するとともに、端末や電子データの入った記録
媒体（ＵＳＢメモリ等）等の盗難に留意する。
（重要情報の盗聴に対する対策）
13. 機密性が求められる電子データを送信する際には必ず暗号化する。
14. 無線 LAN 利用に伴うリスクを理解し、テレワークで利用する場合は確保すべきセキュリ
ティレベルに応じた対策が可能な範囲で利用する。
15. 第三者と共有する環境で作業を行う場合、端末の画面にプライバシーフィルターを装着
したり、作業場所を選ぶ等により、画面の覗き見防止に努める。
（不正侵入・踏み台に対する対策）
16. 社外から社内システムにアクセスするための利用者認証情報（パスワード、ＩＣカード
等）を適正に管理する。
17. インターネット経由で社内システムにアクセスする際、システム管理者が指定したアク
セス方法のみを用いる。
18. テレワークで使用するパスワードは、使い回しを避け、一定以上の長さで他人に推測さ
れにくいものを用いるように心がける。
（外部サービスの利用に対する対策）
19. メッセージングアプリケーションを含むＳＮＳをテレワークで利用する場合、社内で定
められたＳＮＳ利用ルールやガイドラインに従って利用するようにする。
20. テレワークでファイル共有サービス等のパブリッククラウドサービスを利用する場合、
社内ルールで認められた範囲で利用する。
テレワーク勤務者が実施すべき対策
出典：テレワークセキュリティガイドライン 第4版 総務省 別紙3
https://www.soumu.go.jp/main_content/000545372.pdf

34. 脅威の認知

35. 情報セキュリティ10大脅威2020
出典：情報セキュリティ10大脅威 2020：IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2020.html

36. ◼ 情報セキュリティ10大脅威2020(個人編)
順位 昨年
1位 NEW スマホ決済の不正利用
2位 2位 フィッシングによる個人情報の詐取
3位 1位 クレジットカード情報の不正利用
4位 7位 インターネットバンキングの不正利用
5位 4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求
6位 3位 不正アプリによるスマートフォン利用者への被害
7位 5位 ネット上の誹謗・中傷・デマ
8位 8位 インターネット上のサービスへの不正ログイン
9位 6位 偽警告によるインターネット詐欺
10位 12位 インターネット上のサービスからの個人情報の窃取
出典：情報セキュリティ10大脅威 2020：IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2020.html
2019年組織編8位で解説

37. ◼ 情報セキュリティ10大脅威2020(組織編)
順位 昨年
1位 1位 標的型攻撃による機密情報の窃取
2位 5位 内部不正による情報漏えい
3位 2位 ビジネスメール詐欺による金銭被害
4位 4位 サプライチェーンの弱点を悪用した攻撃
5位 3位 ランサムウェアによる被害
6位 16位 予期せぬIT基盤の障害に伴う業務停止
7位 10位 不注意による情報漏えい（規則は遵守）
8位 7位 インターネット上のサービスからの個人情報の窃取
9位 8位 IoT機器の不正利用
10位 6位 サービス妨害攻撃によるサービスの停止
出典：情報セキュリティ10大脅威 2020：IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2020.html

38. ◼ 多数の脅威が存在するが「攻撃の糸口」は類似
⚫ 脆弱性を突く、ウイルスを使う、ソーシャルエンジニア
リング等、古くからある基本的な手口
⚫ 「情報セキュリティの基本」を対策として実施すること
で軽減を図る
情報セキュリティ対策の基本
攻撃の糸口 情報セキュリティ対策の基本 目的
ソフトウェアの脆弱性 ソフトウェアの更新 脆弱性を解消し攻撃によるリ
スクを低減する
ウイルス感染 セキュリティソフトの利用 攻撃をブロックする
パスワード窃取 パスワードの管理・認証の強
化
パスワード窃取によるリスク
を低減する
設定不備 設定の見直し 誤った設定を攻撃に利用され
ないようにする
誘導（罠にはめる） 脅威・手口を知る 手口から重要視するべき対策
を理解する
出典：情報セキュリティ10大脅威 2019：IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2019.html

39. ◼ COVID-19 & HIPAA
Bulletin
⚫ HIPPA
- The Health Insurance
Portability and
Accountability Act
◼ 緊急事態における全国的
な公衆衛生上のHIPAA
制裁と罰則の限定的な免
除を通知
COVID-19 & HIPAA Bulletin
出典：COVID-19 & HIPAA Bulletin
https://www.hhs.gov/sites/default/files/hipaa-and-covid-19-limited-hipaa-waiver-bulletin-508.pdf
人命第一！

40. ◼ テレワークの特性を正しく理解し、守るべきもの、
脅威、脆弱性を認知する
◼ 新技術・新サービスを意識したセキュリティ対策
の必要性を理解し、対策を行う
◼ 組織の特性にあったフレームワークやトレーニン
グを活用し技術や管理手法のアップデートを行う
◼ まずは「情報セキュリティ対策の基本」から
⚫ ソフトウェアの更新
⚫ セキュリティソフトの利用
⚫ パスワードの管理・認証の強化
⚫ 設定の見直し
⚫ 脅威・手口を知る
まとめ
出典：情報セキュリティ10大脅威 2020：IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2020.html

41. 参考情報

42. (ご参考)関連トレーニングコース
1日でわかる！
情報セキュリティ10大脅威の攻撃手法とその対策
(オンラインLIVE対応/コースコード:SCC0272G/1日間：9:30-17:00)
⚫ 短時間で情報セキュリティ10大脅威(情報処理推進機構発表)で取り上げられた脅
威を中心に講義、演習を交えながら攻撃手法とその対策を学んでいくコースです。
⚫ 個人の脅威を中心に組織人として注意すべきポイントを効果的に学べます。
⚫ 演習やデモを通し理解を深めます。
⚫ IT部門の方はもちろん、non-IT部門の方がセキュリティを学ぶのにお勧めです。
ポイント
1. 脅威とは
2. 情報セキュリティ10大脅威とは
3. 10大脅威から知る「個人の脅威」
4. 10大脅威から知る個人が関わる「組織の脅威」
5. 脅威から組織を守るために
学習内容
演習(デモ)例：
・セキュリティ製品の正しい挙動を確認
・パスワード攻撃など
詳細はウェブで
https://www.trainocate.co.jp/SCD190625kb

43. ◼ 誤送信の少ない入力順番は？
講義例：メール誤送信を防ぐ工夫
タイトル?
宛先?
本文?
添付ファイル?

44. セキュリティ格言
今日の常識は
明日の非常識
一緒に知識をアップデートしていきましょう！

45. ご清聴ありが
とうございま
した！ セキュリティ研修
https://www.trainocate.co.jp/reference/security/securitytopic.html