テレワーク・セキュリティ・チェックリスト

初版 令和2年9月11日 総務省より抜粋(一部誤字脱字等訂正)

1 / 33

会社で許可したテレワーク端末のみをテレワークに使用しており、使用している端末とその利用者を把握している。

2 / 33

テレワークで利用しているシステムや、取り扱う重要情報を把握している。

3 / 33

テレワーク端末にウイルス対策ソフトをインストールし、リアルタイムでスキャンが有効になる設定としている。またウイルス対策ソフトの定義ファイ ルを自動更新する設定、もしくは手動で最新に更新するルールを作成してい る。

4 / 33

不審なメールの開封や、そのメールに記載されている URL のクリック、添 付ファイルを開かないように注意喚起 をしている。また利用しているメール 製品に不審なメールを除外する機能が ある場合は有効化している。(クラウ ドサービス(Web メール)の利用が無 い場合は対象外)

5 / 33

テレワーク端末(スマートデバイス)へのアプリケーションのインストールは、安全であることが確認できる方法(公式アプリケーションストアの利用等)によるインストールに限定する。

6 / 33

システムによるアクセス制御や重要情報そのものに対するパスワード設定等により、重要情報は許可された人のみが利用できるようにしている。

7 / 33

インターネット経由で社内システムにアクセスする際に必要なポートやIPアドレス以外からのアクセスを、社内ネットワークとインターネットの境界線に設置されているファイアウォールやルーター等にて遮断している。

8 / 33

オンライン会議の主催者はミーティングの開始時および途中参加者が出た際に、参加者の本人確認を実施している。(クラウドサービス(オンライン会議)の利用が無い場合は対象外)

9 / 33

オンライン会議にアクセスするためのURLや会議参加のパスワードを不要なメンバーに伝えないようにしている。また会議参加のパスワード設定を強制させることが可能な場合は、パスワード設定を強制している。(クラウドサービス(オンライン会議)の利用が無い場合は対象外)

10 / 33

オンライン会議の主催者は必要に応じて不適切な参加者を退出させるなどし、会議を適切に進行している。(クラウドサービス(オンライン会議)の利用が無い場合は対象外)

11 / 33

テレワーク端末に対して覗き見防止フィルタを貼付し、離席時にはスクリーンロックをかけるようルール化している。

12 / 33

テレワーク端末はメーカーサポート切れとなるバージョンのOSやアプリケーションは利用していない。

13 / 33

テレワーク端末のOSやアプリケーションに対して最新のセキュリティアップデートを適用している。

14 / 33

テレワークで利用する自宅のWi-FiルーターやモバイルWi-Fi等は、メーカーサポートが切れている製品を利用しておらず、最新のファームウェアを適用している。

15 / 33

テレワーク端末から社内にリモートアクセスする際に利用するVPN機器や、会社端末のリモートデスクトップアプリケーション等について、メーカーサポート切れの製品は利用せず、最新のセキュリティアップデートを適用している。

16 / 33

テレワークでクラウドサービス(Webメール、チャット、オンライン会議、クラウドストレージ等)を利用する場合は、HTTPS通信でかつ、接続先のURLが正しいことを確認している。
(クラウドサービスを利用していない場合は対象外)

17 / 33

クラウドサービスに接続する際や、ID・パスワード等の情報を入力するサービスに接続する際には、暗号化され ているHTTPS 通信であることを確認してから使用している。

18 / 33

自宅のWi-Fiルーター等の機器を利用する場合は、Wi-Fiのセキュリティ方式として「WPA2」を利用して、パスワードは第三者に推測されにくいものを利用している。

19 / 33

情報セキュリティインシデント発生時に備えて、インシデントが発生した場合や懸念がある状況(不審なメールを開封した場合等)における対応方針を決定しており、関係者への各種連絡体制を定めている。

20 / 33

テレワーク端末とアクセス先の各システムの時刻が同期されるように設定している。

21 / 33

テレワーク端末から社内システムにアクセスする際のアクセスログを収集している。

22 / 33

テレワーク端末(スマートデバイス)の紛失時に端末の位置情報を検出できるようにしている。

23 / 33

テレワーク端末(スマートデバイス) の紛失時にMDM※等を導入し、リモートからのデータの消去、ログイン時の認証ポリシーやハードディスクの暗号化などのセキュリティ設定を強制的に適用している。
※ Mobile Device Managementの略称で、スマートフォン等のスマートデバイスを一元的に管理・運用すること、又はその機能を提供するソフトウェア

24 / 33

テレワーク端末の盗難・紛失時に情報が漏えいしないように、ハードディスクやフラッシュメモリ※1等の内蔵された記憶媒体の暗号化を実施している※2(端末に会社のデータを保管しない場合は対象外)
※1 ハードディスクとは異なる記憶媒体の一つで、「不揮発性の半導体メモリ」をさす。電源をおとしてもデータを保持することが可能な記憶媒体
※2 iOS製品については初期状態で暗号化されているため対応不要

25 / 33

テレワーク端末には原則として重要情報を保管しておらず、もし重要情報を保管しなければならない場合※には、ファイルの暗号化(パスワード設定等)を実施している。(端末に会社のデータを保管しない場合は対象外)
※ テレワーク端末のローカルにファイル保存するケースであり、ファイルサーバやクラウドストレージ、各種クラウドサービスのシステム内に保存するケースは対象外

26 / 33

オンライン会議を実施する際に、会議のタイトルや議題に重要情報を記載しないことや、会議の録画ファイルに対してパスワードの設定や期間指定の自動削除、等を実施している。上記のルールを強制することが可能な場合は、強制するように設定する。
(クラウドサービス(オンライン会議)の利用が無い場合は対象外)

27 / 33

テレワーク端末のログインアカウントや、テレワークで利用する各システムのアカウントのパスワードは破られにくい「長く」「複雑な」パスワードを 設定している。またパスワード強度を強制することが可能である場合は強制するように設定している。

28 / 33

テレワーク端末へログインするためのパスワードや、テレワークで利用する各システムのアカウントの初期パスワードは変更している。

29 / 33

テレワーク端末やテレワークで利用する各システムのアカウントが一定回数以上パスワードを誤入力した場合、パスワード入力ができなくなるように制限している。

30 / 33

テレワークで利用する各システムにアクセスする際に多要素認証を求めるように設定している。

31 / 33

テレワーク端末やテレワークで利用する各システムにおいて、業務上必要な最小限の人に管理者権限を与えている。

32 / 33

テレワーク端末やテレワークで利用する各システムの管理者権限のパスワードには、強力なパスワードポリシーを適用している。

33 / 33

テレワーク端末やテレワークで利用する各システムの管理者権限は、必要な作業時のみ利用している。


当サイトで入力された情報やアクセス情報は、機能上一時的に保持しますが、保存する事はありません。又、情報を第三者に開示・提供等はいたしません。