IT・情報システム
公開日: 2021.03.18
テレワーク時代のリスクに合わせた、セキュリティーと利便性を両立したITツール
昨今、導入が加速しているテレワーク。一方で、システムへの社外からのアクセスが必須となるため、セキュリティーをこれまで以上に重視する必要がある。本記事ではツールのセキュリティーや利便性について、注意すべき点を解説する。
【画像】shutterstock
新型コロナウイルスにより、テレワークを推奨する企業は増加
新型コロナウイルス感染症の影響でテレワークを導入する企業が増えている。パーソル総合研究所の調査によれば、緊急事態宣言が発出された場合に71.1%の企業がテレワークを認める方針であることがわかった。また、緊急事態宣言が出ていない状況でも新型コロナウイルス感染症のリスクがある場合は導入に前向きな企業が60.1%、新型コロナウイルス感染症が収束した後も前向きに導入したがっている企業が44.8%に上った。
しかしながら、テレワークを導入する際にリスクとなってくるのは情報セキュリティーの事故や情報漏洩である。日本ネットワークセキュリティ協会によると、近年、日本企業において不正アクセスによる個人情報の流出が増加傾向にある。2017年の被害件数はおよそ386件で、それまでは減少傾向にあったが、2018年の調査では443件と増加に転じた。
自宅から会社のシステムにアクセスする中で、オンラインで業務を完結しつつ、セキュリティーを担保する必要がある。テレワークを導入する際に、現在社内で使用しているツールを自宅からのアクセスに使用して、セキュリティーが担保されるのだろうか。さらに、今後社内全体の業務がオンラインで完結するように、導入しなければならないツールのセキュリティーは大丈夫なのだろうか。
対策が万全でない場合に起こるトラブルの例
導入しているツールのセキュリティーが担保されていないと以下のようなトラブルが起こる場合がある。
オンラインストレージの設定不備
ファイルの設定不備により、重要な情報を誰でもアクセス可能な状態にしてしまうことがある。ウイルス感染や総当たり攻撃、フィッシング、通信の傍受などの手口でユーザーのIDとパスワードが盗み出され、不正アクセスされるケースが多い。また、従業員による情報漏えいの危険もある。
SaaSサービスへの不正アクセス(リスト型攻撃)
不正アクセスによって、顧客の情報やこれまでのやり取りなど、重大な機密情報が漏えいすることがある。特に近年ではリスト型攻撃による被害が多く、大企業でもリスト型攻撃による不正アクセスで、ユーザーのアカウント情報が流出し、信頼を損ねてしまったケースが後を絶たない。
従業員による持ち出し(内部不正)
アクセス権限を持っている従業員や業務委託先の社員が故意に機密情報にアクセスし、情報を持ち出してしまうことも考えられる。また、ツールを使わずExcelで管理している場合、ファイルのコピーによって漏えいする可能性もある。
ウェブ会議ツールの管理不足
不正アクセスによって、会議資料のダウンロード、画面に表示されている映像を盗み見みることによる漏えいが起こる場合がある。もちろんこれはハッカーなどによる攻撃の場合も多いのだが、従業員のリテラシーの低さが問題で起こることもある。例えば従業員がウェブ会議ルームのURLを気軽にSNSなどに貼り付けてしまうのである。その結果、第三者がウェブ会議に侵入してしまうというトラブルが起こる。ウェブ会議ツールにはしっかりとIDとパスワードを設定することが必要である。
テレワーク環境において必要なセキュリティー対策の例
会社はテレワーク環境の運用についてのルールを定め、従業員に遵守させる必要がある。従業員がルールを守ることが情報セキュリティの第一歩である。具体的には以下のようなルールが必要だ。
- テレワークで使うデバイスを他人と共有しない
- ウェブ会議のサービスなどを新たに使う前には、事前にサービスの初期設定の内容を確認する。とくにセキュリティー機能は積極的に活用する。
- 従業員の自宅のwi-fiルータのファームウエアを最新にアップデートする。
- カフェなどで業務を行う場合には第三者に画面を覗き見されないように気をつける。
- 公衆Wi-Fiを利用する際にはファイル共有機能をオフにする。
- 公衆Wi-Fiを利用する際には必要に応じて信頼できるVPNを利用する。
また、テレワーク導入直後は従業員が慣れていないと思われるので、システム管理者に異常を報告しやすい体制を整えなければならない。何か事故が起こったときに、従業員が報告を戸惑っていると、対策が遅れ、被害が拡大することがある。できるだけ簡単にかつ心理的なハードルが低いような報告の体制を作らなければならない。
また、企業のセキュリティーポリシーにおいては、「マルウェア感染時にはLANケーブルを抜くか無線LANをオフにする」というルールが策定されていることが多い。しかしながらテレワーク環境においてこれをそのまま適用することはできない。なぜならネットワーク環境に接続されていないとシステム管理者が遠隔操作で感染デバイスを確かめることができなくなるからである。感染デバイスをネットワークから隔離することは正しいが、隔離したあとでどう対応するかということを想定した対応策を社内で共有しておく必要がある。
さらに、テレワークから職場に戻る際にも、戻る前にパソコンにウイルスチェックをかけ、アップデートを適用してから戻すことが必要である。これは自宅で作った成果物をUSBメモリで社内に持ち込んだりする場合も同様だ。また、テレワーク環境から社内環境へのデータの移行のやり方についてルールを策定する必要がある。
また、企業のセキュリティーポリシーにおいては、「マルウェア感染時にはLANケーブルを抜くか無線LANをオフにする」というルールが策定されていることが多い。しかしながらテレワーク環境においてこれをそのまま適用することはできない。なぜならネットワーク環境に接続されていないとシステム管理者が遠隔操作で感染デバイスを確かめることができなくなるからである。感染デバイスをネットワークから隔離することは正しいが、隔離したあとでどう対応するかということを想定した対応策を社内で共有しておく必要がある。
さらに、テレワークから職場に戻る際にも、戻る前にパソコンにウイルスチェックをかけ、アップデートを適用してから戻すことが必要である。これは自宅で作った成果物をUSBメモリで社内に持ち込んだりする場合も同様だ。また、テレワーク環境から社内環境へのデータの移行のやり方についてルールを策定する必要がある。
パスワードのみに頼らない認証技術
また、パスワードだけに頼らない認証というのも昨今は注目され始めている。従来、認証にはパスワードが使用されてきたが、近年では過去に漏えいしたパスワードリストが出回り、それを用いた「リスト型攻撃」が観測され始めている。また、ユーザーの環境や情報から類推したパスワードを試していく類推攻撃も観測されている。ユーザーの情報はSNSなどから簡単に取れるのだ。さらに、使われやすい単語のリストを利用した辞書攻撃や全ての文字の組み合わせを試す総当たり攻撃など、パスワードを攻撃する手法は多数開発されている。
パスワードの設定を従業員に任せた上で「安全なパスワードを使用せよ」というルールだけでは管理するのに限界があるため、今後は生体認証や二要素認証など、次世代の認証技術を導入することも徐々に検討されていくだろう。
パスワードの設定を従業員に任せた上で「安全なパスワードを使用せよ」というルールだけでは管理するのに限界があるため、今後は生体認証や二要素認証など、次世代の認証技術を導入することも徐々に検討されていくだろう。
セキュリティーを固めすぎた結果、起こる問題
情報セキュリティー対策として、社外から全てのツールへのアクセスを禁止、会社PCへアプリのダウンロードを禁止等、セキュリティを強固にしていれば良いという訳ではない。一般的にはセキュリティーの頑強さとユーザー(従業員)の利便性というのは反比例する。十重二十重に張り巡らされたセキュリティーはユーザーの前にも立ちはだかるのである。ユーザーはそのセキュリティの制約の中でシステムを利用しなければいけないのだ。結果的にユーザーがシステムを利用する前の手続きがわずらわしくなり、生産性が上がらないといった問題につながってしまう。
このような状況になると発生する問題の一つはシャドーITというものだ。シャドーITとは、社内で使用が許可されていない個人所有のソフトウエアや外部サービスやデバイスを、隠れて利用してしまう行動を意味する言葉である。例えば以下のようなツールが該当する。
このような状況になると発生する問題の一つはシャドーITというものだ。シャドーITとは、社内で使用が許可されていない個人所有のソフトウエアや外部サービスやデバイスを、隠れて利用してしまう行動を意味する言葉である。例えば以下のようなツールが該当する。
- 会社で許可されていないオンラインストレージサービス
- 会社で許可されていないチャットツール
- 個人のスマートフォンやタブレット
- 個人所有のUSBメモリー
シャドーITがまん延してしまうとどのようなトラブルが起こるのだろうか。コンシューマー向けのITサービスといえばオンラインストレージとチャットが広く浸透しているが、これらをシャドーITとして用いると以下のようなトラブル例がある。
- 個人情報が掲載された業務文書を、会社で許可されていないオンラインストレージに保存していたら共有設定を誤り誰でも見られる状態になってしまっていた。
- 会社で許可されていないチャットツールを業務用の連絡に使っていたら、誤って社外秘情報を無関係の友人に送ってしまった。
このようなシャドーITによるリスクはとても恐ろしいものだが、だからといって、ただ禁止すれば解決するかというと、そんなことはない。なぜシャドーITがまん延するかというと、業務において、そのツールの需要があるからなのである。つまり会社から許可されている業務ツールの利便性が非常に悪く、個人用のツールを使わないと著しく生産性が落ちるため、シャドーITがまん延するのだ。
したがって、シャドーITを防止するには、セキュリティーと利便性を両立したツールを選ぶべきである。シャドーITに手を出す従業員も、できれば会社から禁止されたツールを使うリスクは負いたくはないのである。
したがって、シャドーITを防止するには、セキュリティーと利便性を両立したツールを選ぶべきである。シャドーITに手を出す従業員も、できれば会社から禁止されたツールを使うリスクは負いたくはないのである。
セキュリティーと利便性を両立させるために、Sansanの情シス・セキュリティー部門が気をつけていること
使うシステムやツールによってチェック項目を分ける
ツールのセキュリティーを全て一律のチェック項目で審査していると、ツールごとに過不足が生じる。例えば極めて重要な個人情報を扱う場合にはセキュリティーにも高いハードルが必要なので厳しいチェックが必要になるが、あまり重要ではない情報を扱うツールは利便性を害するほどのセキュリティーは必要ない。Sansanはきめ細かいチェック項目の設定によってツールごとに最適なセキュリティー強度を担保している。
日々の情報収集からチェック項目をブラッシュアップしている
セキュリティー対策は日進月歩だ。社内で使用しているツールにセキュリティーホール(情報セキュリティー上の欠陥)が見つかった場合は即座にアップデートをしなければならないし、それに合わせてチェックリストもアップデートする必要がある。さらに情報セキュリティー技術に進歩があった場合にも、それに合わせてチェックリストをアップデートする必要がある。Sansanでは「CSIRT(Computer Security Incident Response Team)」が日々、情報収集をしており、最新のセキュリティー体制を保持している。
テレワークだからこそセキュリティーと利便性を両立したセキュリティー対策の見直しを
新型コロナウイルスの影響で、急速に浸透しているテレワーク。オンラインで業務が完結できる一方、情報システム部門としては、セキュリティー対策と利便性をバランスよく両立するツールを見つけることが重要だ。
営業DXサービス「Sansan」は顧客データ・名刺データの活用に関する各種機能が充実しているだけでなく、セキュリティーと利便性の両方を追求したツールである。詳しくは以下をご覧いただきたい。
営業DXサービス「Sansan」は顧客データ・名刺データの活用に関する各種機能が充実しているだけでなく、セキュリティーと利便性の両方を追求したツールである。詳しくは以下をご覧いただきたい。
この記事を読んだ方におすすめ
この記事を読みテレワークにおけるセキュリティについて知見を深めた方には、こちらの記事もおすすめです。
