- 働き方改革
テレワーク時代のリスクに合わせた、セキュリティーと利便性を両立したITツール
公開日:
昨今、導入が加速しているテレワーク。一方で、システムへの社外からのアクセスが必須となるため、セキュリティーをこれまで以上に重視する必要があります。本記事ではツールのセキュリティーや利便性について、注意すべき点を解説します。
※本記事は2021年3月に作成されました。掲載されている内容は作成時点の情報です。
新型コロナウイルスにより、テレワークを推奨する企業は増加
新型コロナウイルス感染症の影響でテレワークを導入する企業が増えています。
パーソル総合研究所の調査によれば、緊急事態宣言が発出された場合に71.1%の企業がテレワークを認める方針であることがわかりました。また、緊急事態宣言が出ていない状況でも新型コロナウイルス感染症のリスクがある場合は導入に前向きな企業が60.1%、新型コロナウイルス感染症が収束した後も前向きに導入したがっている企業が44.8%に上りました。
【参考】新型コロナ感染拡大のレベルに応じ、企業のテレワーク方針はどう変化するか緊急事態宣言が発出された場合、企業の71.1%がテレワークを認める方針 - パーソル総合研究所
しかしながら、テレワークを導入する際にリスクとなってくるのは情報セキュリティーの事故や情報漏洩です。
日本ネットワークセキュリティ協会によると、近年、日本企業において不正アクセスによる個人情報の流出が増加傾向にあります。2017年の被害件数はおよそ386件で、それまでは減少傾向にあったが、2018年の調査では443件と増加に転じました。
【参考】NPO日本ネットワークセキュリティ協会 報告書・公開資料
自宅から会社のシステムにアクセスする中で、オンラインで業務を完結しつつ、セキュリティーを担保する必要があります。テレワークを導入する際に、現在社内で使用しているツールを自宅からのアクセスに使用して、セキュリティーが担保されるのでしょうか。さらに、今後社内全体の業務がオンラインで完結するように、導入しなければならないツールのセキュリティーは大丈夫なのでしょうか。
対策が万全でない場合に起こるトラブルの例
導入しているツールのセキュリティーが担保されていないと以下のようなトラブルが起こる場合があります。
オンラインストレージの設定不備
ファイルの設定不備により、重要な情報を誰でもアクセス可能な状態にしてしまうことがあります。ウイルス感染や総当たり攻撃、フィッシング、通信の傍受などの手口でユーザーのIDとパスワードが盗み出され、不正アクセスされるケースが多いです。また、従業員による情報漏えいの危険もあります。
SaaSサービスへの不正アクセス(リスト型攻撃)
不正アクセスによって、顧客の情報やこれまでのやり取りなど、重大な機密情報が漏えいすることがあります。特に近年ではリスト型攻撃による被害が多く、大企業でもリスト型攻撃による不正アクセスで、ユーザーのアカウント情報が流出し、信頼を損ねてしまったケースが後を絶ちません。
従業員による持ち出し(内部不正)
アクセス権限を持っている従業員や業務委託先の社員が故意に機密情報にアクセスし、情報を持ち出してしまうことも考えられます。また、ツールを使わずExcelで管理している場合、ファイルのコピーによって漏えいする可能性もあります。
ウェブ会議ツールの管理不足
不正アクセスによって、会議資料のダウンロード、画面に表示されている映像を盗み見みることによる漏えいが起こる場合があります。もちろんこれはハッカーなどによる攻撃の場合も多いのですが、従業員のリテラシーの低さが問題で起こることもあります。例えば従業員がウェブ会議ルームのURLを気軽にSNSなどに貼り付けてしまうのです。その結果、第三者がウェブ会議に侵入してしまうというトラブルが起こります。ウェブ会議ツールにはしっかりとIDとパスワードを設定することが必要です。
テレワーク環境において必要なセキュリティー対策の例
会社はテレワーク環境の運用についてのルールを定め、従業員に遵守させる必要があります。従業員がルールを守ることが情報セキュリティの第一歩です。具体的には以下のようなルールが必要です。
- テレワークで使うデバイスを他人と共有しない
- ウェブ会議のサービスなどを新たに使う前には、事前にサービスの初期設定の内容を確認する。とくにセキュリティー機能は積極的に活用する
- 従業員の自宅のwi-fiルータのファームウエアを最新にアップデートする
- カフェなどで業務を行う場合には第三者に画面を覗き見されないように気をつける
- 公衆Wi-Fiを利用する際にはファイル共有機能をオフにする
- 公衆Wi-Fiを利用する際には必要に応じて信頼できるVPNを利用する
また、テレワーク導入直後は従業員が慣れていないと思われるので、システム管理者に異常を報告しやすい体制を整えなければなりません。何か事故が起こったときに、従業員が報告を戸惑っていると、対策が遅れ被害が拡大することがあります。できるだけ簡単にかつ心理的なハードルが低いような報告の体制を作らなければなりません。
また、企業のセキュリティーポリシーにおいては、「マルウェア感染時にはLANケーブルを抜くか無線LANをオフにする」というルールが策定されていることが多いです。しかしながらテレワーク環境においてこれをそのまま適用することはできません。なぜならネットワーク環境に接続されていないとシステム管理者が遠隔操作で感染デバイスを確かめることができなくなるからです。感染デバイスをネットワークから隔離することは正しいのですが、隔離したあとでどう対応するかということを想定した対応策を社内で共有しておく必要があります。
さらに、テレワークから職場に戻る際にも、戻る前にパソコンにウイルスチェックをかけ、アップデートを適用してから戻すことが必要です。これは自宅で作った成果物をUSBメモリで社内に持ち込んだりする場合も同様です。また、テレワーク環境から社内環境へのデータの移行のやり方についてルールを策定する必要があります。
パスワードのみに頼らない認証技術
また、パスワードだけに頼らない認証というのも昨今は注目され始めています。
従来、認証にはパスワードが使用されてきましたが、近年では過去に漏えいしたパスワードリストが出回り、それを用いた「リスト型攻撃」が観測され始めています。また、ユーザーの環境や情報から類推したパスワードを試していく類推攻撃も観測されています。ユーザーの情報はSNSなどから簡単に取れるのです。さらに、使われやすい単語のリストを利用した辞書攻撃や全ての文字の組み合わせを試す総当たり攻撃など、パスワードを攻撃する手法は多数開発されています。
パスワードの設定を従業員に任せた上で「安全なパスワードを使用せよ」というルールだけでは管理するのに限界があるため、今後は生体認証や二要素認証など、次世代の認証技術を導入することも徐々に検討されていくでしょう。
セキュリティーを固めすぎた結果、起こる問題
情報セキュリティー対策として、社外から全てのツールへのアクセスを禁止、会社PCへアプリのダウンロードを禁止等、セキュリティを強固にしていれば良いという訳ではありません。
一般的にはセキュリティーの頑強さとユーザー(従業員)の利便性というのは反比例します。十重二十重に張り巡らされたセキュリティーはユーザーの前にも立ちはだかります。ユーザーはそのセキュリティの制約の中でシステムを利用しなければいけないのです。結果的にユーザーがシステムを利用する前の手続きがわずらわしくなり、生産性が上がらないといった問題につながってしまいます。
このような状況になると発生する問題の一つはシャドーITというものです。シャドーITとは、社内で使用が許可されていない個人所有のソフトウエアや外部サービスやデバイスを、隠れて利用してしまう行動を意味する言葉です。例えば以下のようなツールが該当します。
- 会社で許可されていないオンラインストレージサービス
- 会社で許可されていないチャットツール
- 個人のスマートフォンやタブレット
- 個人所有のUSBメモリー
シャドーITがまん延してしまうとどのようなトラブルが起こるのでしょうか。コンシューマー向けのITサービスといえばオンラインストレージとチャットが広く浸透していますが、これらをシャドーITとして用いると以下のようなトラブル例があります。
- 個人情報が掲載された業務文書を、会社で許可されていないオンラインストレージに保存していたら共有設定を誤り誰でも見られる状態になってしまっていた。
- 会社で許可されていないチャットツールを業務用の連絡に使っていたら、誤って社外秘情報を無関係の友人に送ってしまった。
このようなシャドーITによるリスクはとても恐ろしいものですが、だからといってただ禁止すれば解決するかというとそんなことはありません。なぜシャドーITがまん延するかというと、業務においてそのツールの需要があるからです。つまり会社から許可されている業務ツールの利便性が非常に悪く、個人用のツールを使わないと著しく生産性が落ちるため、シャドーITがまん延するのかもしれません。
したがって、シャドーITを防止するには、セキュリティーと利便性を両立したツールを選ぶべきです。シャドーITに手を出す従業員も、できれば会社から禁止されたツールを使うリスクは負いたくはないはずです。
セキュリティーと利便性を両立させるために、Sansan社の情シス・セキュリティー部門が気をつけていること
使うシステムやツールによってチェック項目を分ける
ツールのセキュリティーを全て一律のチェック項目で審査していると、ツールごとに過不足が生じます。例えば極めて重要な個人情報を扱う場合にはセキュリティーにも高いハードルが必要なので厳しいチェックが必要になりますが、あまり重要ではない情報を扱うツールは利便性を害するほどのセキュリティーは必要ありません。
Sansan社ではきめ細かいチェック項目の設定によってツールごとに最適なセキュリティー強度を担保しています。
日々の情報収集からチェック項目をブラッシュアップしている
セキュリティー対策は日進月歩です。社内で使用しているツールにセキュリティーホール(情報セキュリティー上の欠陥)が見つかった場合は即座にアップデートをしなければならないですし、それに合わせてチェックリストもアップデートする必要があります。さらに情報セキュリティー技術に進歩があった場合にも、それに合わせてチェックリストをアップデートする必要があります。
Sansan社では「CSIRT(Computer Security Incident Response Team)」が日々、情報収集をしており、最新のセキュリティー体制を保持しています。
テレワークだからこそセキュリティーと利便性を両立したセキュリティー対策の見直しを
新型コロナウイルスの影響で、急速に浸透しているテレワーク。オンラインで業務が完結できる一方、情報システム部門としては、セキュリティー対策と利便性をバランスよく両立するツールを見つけることが重要です。
営業DXサービス「Sansan」は顧客データ・名刺データの活用に関する各種機能が充実しているだけでなく、セキュリティーと利便性の両方を追求したツールです。詳しくはこちらをご覧ください。
3分でわかる Sansan
営業DXサービス「Sansan」について簡潔にご説明した資料です。
ライター
営業DX Handbook 編集部