新型コロナウイルスの感染拡大が止まらない中、首都圏では2度目の緊急事態宣言が発出されました。その中で政府は以下の要請を行っています。
・不要不急の外出や移動の自粛
・出勤者数の7割削減を実現に向けたテレワークの推進
・20時以降の勤務抑制
:
これにより、多くの職場ではテレワークの割合を増やす、完全にテレワーク移行する、といった対応がされているでしょう。もちろん、前回の緊急事態宣言以降、テレワークを継続する従業者も多数存在していることも予想されます。
一方で、テレワークを行う従業者の増加は同時に、セキュリティリスクも増大させています。これは前回の緊急事態宣言時における急速なテレワーク環境への移行は業務継続を優先していたため、セキュリティ対策が十分に行われたとは言い難いと考えられるからです。
その後緊急事態宣言は解除されてからこれまで、テレワーク環境の整備や改善にどのくらい注力したが費やしたかが、今後の業務パフォーマンスに大きな差を生み出す可能性があります。特にリモート環境下でのセキュリティ事故は発見が遅れて迅速に対応できない可能性もあり、気付かないうちに被害が大きくなる恐れもあります。
先日、独立行政法人情報処理推進機構(IPA)より、テレワーク上のセキュリティに関するアンケート調査の一部が公開されました。まずはテレワークにおけるセキュリティの現状を確認します。
IPAの調査結果概要
先日、IPAが行った「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の結果の一部が公開されました。調査内容が2020年10月末時点なので、現在とはまた状況が異なるとは思いますが、コロナ禍での業務環境の変化を現在進行形で表していると考えております。
(1)テレワークの実施状況
調査時点でのテレワーク実施状況を確認したところ、回答者の約75%がテレワークを実施中、あるいは過去に実施していたことがあるという回答でした。そのうち、テレワークを継続しているのは約6割でした。また、テレワークの導入時期について、2020年4月に発令された緊急事態宣言以降に導入した企業がおよそ6割を占めており、この時期に急速にテレワークが拡大していたことがわかります。
テレワークを経験した企業のうち、2割弱の企業がテレワークをやめており、かつその半数が今後もテレワークを実施しないと回答しています。恐らくは、前回の緊急事態宣言発令時に急遽導入した後、パフォーマンスが上がらない、紙中心の業務から脱しきれない、等の理由で緊急事態宣言の解除後に元の業務形態に戻したと推測されます。
テレワークにおいて、社内外とのコミュニケーションを行うため、ZoomやMicrosoft Teams等のWeb会議ツールも注目されました。その利用状況についても確認したところ、こちらも前回の緊急事態宣言以降に導入した企業が急増しており、調査時点では8割弱の企業が導入しています。
(2)取引先企業との関係性の変化
このコロナ禍の状況での取引先との関係性に変化が生じていると考えている回答者がおよそ7割に上りました。その内容を見ると、新型コロナウイルスの感染リスクを低減させるための接触の減少とオンライン化への移行が進んでいることが分かります。
テレワークの拡大が会社間の取引上の活動にも大きな影響を与えることが分かります。前回の緊急事態宣言では、とにかく人同士の接触を抑制することが第一でした。その結果、直接の応対は減少し、その代替手段としてのオンライン化が進んだと考えられます。また、テレワークは企業判断で導入を決断した企業もあれば、取引先の影響で導入せざるを得ない企業もあったと考えられます。一方で、変化を感じていないという回答が約3割あります。つまり、企業や従業者のおよそ3割が従来通りのビジネスのやり方で活動していることを意味しています。
業務活動のリモート化、オンライン化が進むにつれ、セキュリティ面での不安も増大します。回答者の約半数が取引先のテレワーク化に不安を感じています。その不安の内容としては、取引先のテレワーク環境やテレワーク化に伴う情報管理であり、結果として自社の情報露営が発生しても、その原因や流出経路を確認することが難しくなる、と懸念する方が多いようです。
どこから情報漏えいしたか、その流出経路が不明確になるということは、再発防止の対策を決められないことに他なりません。特に自社ではなく取引先が疑わしい場合、対応を誤ると会社間の関係性にも影響します。従来の機密保持に関する契約や取決めは相手先企業内での取り扱いを前提にすることが多いため、相手先企業の担当者がリモートワークを行うことを前提とした対応を行う必要があると考えます。
セキュリティインシデントの概況
それでは、実際のセキュリティリスクはどうなっているのでしょうか。
セキュリティ事故の報告を受け付けている一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)の最新レポートを確認すると、新型コロナウイルスの感染が確認され、拡大しつつある時期とほぼシンクロしてセキュリティ事故の報告が増加していることが分かります。
新型コロナウイルスの感染が拡大する以前は毎月約1700件であった報告件数は、2020年3月以降に急増し、9月には5000件以上に急増しました。しかしながら、現在第3波と呼ばれる新型コロナウイルの感染状況とは異なり、一貫して上昇傾向にあるのは大きな特徴です。
報告されたセキュリティ事故の内容として、フィッシングサイト(パスワード等の情報搾取を目的とした偽サイト)がほぼ半数を占め、それ以外にも正アクセスするための脆弱性を探索するスキャンやマルウェアに感染させるためのサイト、等がありました。
それでは、なぜセキュリティ事故が増加しているのでしょうか。
考えられる理由の一つは、セキュリティ事故を起こす犯罪者もオンライン化したことです。オンラインにシフトしたのは、ビジネスだけではありません。危機感を煽るような内容のメールやサイトによって個人情報や金銭を搾取する犯罪者がリアルの世界から続々と流入していることが想定されます。
また、もう一つの理由として、テレワーク化により個々人の判断で対応しがちだということです。一般の職場環境であれば、そもそもネットワーク環境が守られていますし、何か問題や疑問があれば、近くの同僚やIT部門に気軽に確認や相談をしやすいですが、テレワーク環境だとなかなかコミュニケーションしづらい場合もあり、結果として素人判断で対応しがちです。特にセキュリティ事故を起こすようなメールやサイトは、平常心を失うような内容であるため、慌てて犯罪者が望む行動をしがちです。一方で、チャットやオンライン会議による社員同士の雑談を制限する企業もあります。もちろん、長時間の雑談は問題ですが、ちょっとした疑問や相談に対応することを許容しないと、セキュリティ事故だけでなく、通常のオペレーションにおける事故も増加する可能性があります。
テレワークにおけるセキュリティ対策の確認
それでは、テレワーク環境でのセキュリティ事故を防ぐため、従業員はどのように対応すべきでしょうか。もちろん、自社で定めたルールに従うことは重要ですが、ITやセキュリティの専門家ではない一般の従業員でも、以下の対策を行うことができると考えます。
(1)テレワークで利用するPCやスマートフォンは他人と非共有
テレワークで会社から支給された機器を使用する場合は問題ないですが、自宅にあるPCや自分のスマートフォンを使用する場合は仕事専用とし、家族等と共用すべきではありません。誤って内部のデータが流出したり、消去されたりする恐れがあります。同様に、仕事専用のPCやスマートフォンを私的な目的で利用すべきではありません。
(2)テレワークで使用する機器のOSやソフトを常に最新化
PCやスマートフォンのOSやソフトウェアは常に最新バージョンにすべきです。また、自宅のWi-Fiルーターなどの通信機器についても、最新の状態になるよう設定することが重要です。通信速度の遅かった時代はテレワーク環境での更新処理を止める設定にしていたことも散見されましたが、リアルタイムで動画を受信できる現在ではネットワーク負荷が影響することはありません。
(3)パスワードは複雑なものに設定、かつサイトやソフト・アプリごとに使い分け
使用する機器やソフト・アプリそれぞれに対して、複雑なパスワードを設定すべきです。複雑なパスワードというのは以下の様な対応が考えられます。
・パスワード長が長い:少なくとも8文字以上
・文字種類が多い:英大文字、英小文字、数字、記号
・複数の単語を組み合わせる
:
さらに重要なことは、利用する機器のOSやソフト、システム、アプリごとにパスワードを変えることです。そうすれば、一つのパスワードが破られても、被害を最小化することが可能です。
面倒だ、と思う方も多いでしょうが、それは犯罪者にとても同じです。そして多くの犯罪者は、面倒なことをせずに金銭や情報を搾取したいと考えています。そのため、面倒にすることも防衛策の一つです。
(4)怪しいメールや怪しいサイトに注意
これもよく言われていることですが、問題なのは、だんだんこうした悪意のある偽メールや偽サイトの完成度が高くなっていることです。以前は明らかに片言の日本語にしか見えない言い回し、といった理由で見破ることは簡単だったのですが、最近は内容の精度も上がり、一見しただけではわからない内容も増えています。また、取引先を装った偽メールによる被害も増加しています。
(5)テレワーク化で導入されたクラウド等のサービスやオンライン会議の使い方の確認
テレワーク化に伴い、十分な説明の無いまま、自宅等でクラウドサービスやオンライン会議等を使用する状況となった方も多数いらっしゃると思います。何となく、という感で使用してみて上手くいけばいいですが、そうでないときに自力で何とかしようとすると、いつまでも使用できないばかりか、最悪重大なセキュリティ事故を起こす可能性も高くなります。最低限会社や業者から提供されているマニュアル等には目を通し、少しでも不明点等があれば、同僚に相談したり、IT部門に問合せたりして、確認の上で操作すべきです。
一方で、特にIT部門はこうした問い合わせにもきちんと対応することが求められます。
(6)オンライン会議は周りに音声が聞こえない様対応
先日、カフェで作業をしていた時、新たに入店したお客さんが席に着くなりヘッドセットを装着し、オンライン会議を始めるのを見ました。それだけでなく、消音設定をしていないのか、相手の音声もスピーカーから出力されており、そのオンライン会議の内容が周りにだだ漏れだったということがありました。これは、周りに迷惑になるばかりか、重要かもしれない、他者には知られてはいけない情報を自ら発信していることに他なりません。(ちなみに当の本人はできる仕事人を装っていましたが)
これが自宅であっても、オンライン会議の音声は家族にも聞かれない様、対応すべきです。
(7)会社から持ち帰った紙資料やUSB等電子データの取り扱いに注意
テレワークにより自宅等で作業を行う場合、データ化されていない紙資料や外部からアクセスできない場所にあるデータが必要な場合があります。この場合、安易に社外に持ち出すべきではありません。紙資料やUSB等の媒体に収めた電子データは漏洩または紛失リスクが高くなります。自宅にこうした情報を持ち帰る場合、家族に目の届かない場所できちんと管理すべきです。できれば、社内でデータ化し、テレワーク環境でアクセス可能なファイルサーバーやリモートディスク環境に格納した後、テレワーク時にアクセスすべきです。
もちろん、社内にデータ管理等の規程があれば、これに準拠して対応すべきです。
テレワーク化を支えるためのセキュリティという認識
昨年4月の緊急事態宣言以降、急激なテレワーク化が進みましたが、必要に迫られてのテレワーク化だったため、緊急事態が解除されると元の勤務形態に戻した企業も散見されました。冬場に再度感染拡大が予想されたにもかかわらず、夏から秋にかけて準備をしてこなかった企業は、今回の緊急事態宣言によって昨年の4月の状況に追い込まれている可能性もあります。また、前述のアンケート結果の様に、自社のパフォーマンスが上がらない等の理由でテレワークへの移行をしたくなくても、取引先の要求によりテレワークに移行せざるを得ないケースもあると考えられます。
今後も新型コロナウイルスの感染状況が不透明な上、今夏に予定されているオリンピックやGoToキャンペーンの復活など、人的な交流の増加により感染リスクはどうしても高くなります。また、少子高齢化による労働力不足という課題から、常時出勤が難しい労働力を活用するための解決策の一つがテレワークです。移動時間を労働時間に転換し、仕事場所に関係なく労働可能な環境を構築することで生産性が向上し、労働力不足の解消と業績向上に貢献することが期待できます。
一方で、テレワーク化を推進することはセキュリティリスクの増加にもつながりかねません。自宅や近隣のカフェ等での業務実施は、ある程度守られたオフィス環境よりもセキュリティリスクに晒されていることを自覚する必要があります。もしテレワーク由来でのセキュリティ事故が発生した場合、事故の発見や対策も遅れがちになり、結果として通常業務が滞るばかりでなく、事故の影響によっては大きなダメージを負いかねません。そうならないためにも、経営レベルでセキュリティの重要性を認識した上で、担当部門は組織的かつ技術的なセキュリティ対策を実施するとともに、全従業員に対してセキュリティ対策を順守させるよう促す必要があります。
テレワーク化の流れは一過性のものではなく、ワークスタイルの一つの形態として定着していくと考えるべきであり、そのためにはテレワークでできることを拡大する必要があります。オフィスワークは単に印鑑を押印するためのものではなく、より重要性の高いものとして位置付けることで、メリハリをつけることが重要だと考えております。こうしたテレワーク化を支える要素の一つとしてのセキュリティにも十分に目を向けるべきだと考えます。
参考:
独立行政法人情報処理推進機(IPA)
「プレス発表 テレワークのセキュリティに関するアンケート調査結果の中間報告を公開」
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
「インシデント報告対応レポート」
上記内容、及びテレワーク環境の構築や見直し等に関するコンサルティングサービスやアドバイザリサービスに関するご相談やお問い合わせついては、「お問い合せ」のページからご連絡ください。
興味や関心がございましたら、ぜひご連絡ください。
