コロナ禍でテレワークが拡がりましたが、喫緊の課題はセキュリティ対策です。あらゆる情報システムの利用時には安全対策が必須ですが、テレワークに関しては後回しになっているのが実情です。対策が遅れ気味の原因を検証し、いま企業がとるべき行動を考えてみましょう。
一過性の波ではないテレワーク
2021年9月から10月にかけて、内閣府がインターネットを通じて行った調査(回収数1万128)によると、テレワーク実施率は32.2%、東京23区に限ると55.2%に達していました。2020年12月の時点では21.5%(全国)ですから、約1年で大きな伸びを示しています。
ここ1~2年はコロナ対策で導入が進みましたが、テレワークは一過性の動きではありません。国内では1980年代の後半あたりから、大都市圏の混雑緩和や勤務体制の見直しを目的にいくつかのプロジェクトが立ち上がり、インターネットが浸透する2000年代に入ると、この波は少しずつ大きくなってきました。
2010年代以降は、“働き方改革”の推進もあって加速し、2020年代の現在は、都心のオフィスを縮小する事業者、テレワーク前提のベンチャー企業も珍しくありません。こうした背景と社会ニーズ、そしてDX(デジタル改革)の進展を考えると、多くの企業はコロナ収束後もテレワークと向き合っていくことになると予想されます。
テレワークを実施するすべての企業にとって、喫緊の課題はセキュリティ対策です。付け焼き刃ではなく、テレワークを主要な業務形態の一部として採り入れる以上、根本的な安全対策に取り組む必要があるのです。
セキュリティ被害の根本原因は?
テレワークの進展と並行して、自宅などのテレワーク環境から情報が漏えいする事件が、一般の新聞やテレビニュースでもよく報じられるようになってきました。
JASA(日本セキュリティ監査協会)が発表した「情報セキュリティ監査人が選ぶ 2022年の情報セキュリティ十大トレンド」を見ると、「緊急コロナ対策からWithコロナへ業務優先で後回しにしたセキュリティの再点検」が1位、「多様化するワークスペースに対応するセキュリティ対策」が2位、そして4位にも「拡がるWeb会議利用の盲点 データ漏えいに注意」と、テレワークに直結する内容が入っています。
ここで象徴的なキーワードは、1位に含まれる“業務優先で後回しにしたセキュリティ”です。多くの企業で、なぜ対策が後回しになったのかを考えると、テレワーク環境から情報漏えいが多発する要因、そして点検、再点検すべきポイントが見えてきます。
環境変化に追いつかない安全対策
ここ数年、企業の情報システムの使い方が変化した点は、皆さまも実感されているのではないでしょうか。大きな要素は“クラウドシフト”と“モバイル化”です。資料作成、顧客管理、コミュニケーションなど、多くの業務は自社サーバーからクラウドに移行し、データとプログラムはクラウド側に置かれるようになりました。
加えて2010年代以降は、テレワークの推進もあって、業務の多くはノートPCやタブレット、スマートフォンでも処理できるようになっています。クラウドとモバイル化は止まらない流れですが、ここで課題となっているのは、従来からのセキュリティ対策とのギャップが生じていた点です。
企業のセキュリティ対策は、企業ネットワークとインターネットの境界にファイアウォールなどを設置し、境界から内側を守る“境界防御”という考え方で運用してきました。しかし、クラウドシフトとモバイル化が進んだ環境では、守るべき資産は境界の内側だけでなく、テレワーク中の端末やクラウド側に分散しています。
境界というライン自体が希薄になり、各所に拡がった情報資産を守るための対策が迫られたのです。そして多くの企業は、短期間に一気に進展したこの流れを追いきれていません。“セキュリティ対策が後回し”になっているのは、ここに大きな要因があると考えられます。
現実を反映した対応を
十分な体制が整わないまま、テレワーク導入を進めた結果、テレワーク中のPCからの情報漏えい、Web会議や電子メールの盗み見、といった深刻な事故が多発しています。それでは、情報システムの現状を反映した安全な環境の構築・整備、そして点検には、何を実践すればいいのでしょうか。
企業としてテレワークに対し明確なセキュリティ対策の方針を打ち出していないケース、あるいは、これから本格的にテレワークを導入するケースを前提に必要な行動を整理してみましょう。まず大きな流れは、以下の3ステップに集約できます。
1.経営層の意思決定(予算、組織編成)
2.ワーカーに対する研修・教育
3.情報システムの点検・整備・導入
経営層の意思決定
ここはテレワークに限らない話ですが、経営層が情報システムの利用環境の変化を意識した上で方針を固めます。具体的には、予算の確保、対策にあたる組織、担当者の任命などを行います。
ワーカーに対する研修・教育
テレワーク環境のリスク、自宅と移動先における情報機器の利用方法などについて研修を実施します(具体的な内容は以下「3.情報システムの点検・整備・導入」で触れます)。新しい脅威も頻出しているため、定期的にプログラムを見直し、1度受講した人に対しても最新の内容にアップデートして繰り返し実践することが有効です。
情報システムの点検・整備・導入
ここは「基本的な対策」と「テレワーク環境」の2ステップが必要です。
まず以下に挙げるテレワーク以前の基本的な対策が挙げられます。セキュリティ事故の多くは、基本ルールを厳守することでブロックできるので再点検しておきましょう。
・PCへのセキュリティソフト導入
・OS、アプリケーションの最新版への更新
・厳重なパスワード管理
・私物端末の利用禁止(許可する場合はソフトなどを指定)
・USBメモリ、書類などの管理を徹底
テレワークで点検すべき要所は?
次は「3.情報システムの点検・整備・導入」のプロセスで軸になる部分、テレワーク環境の点検です。
・VPN(仮想的な専用回線)の点検
・無料Wi-Fiの利用制限
・自宅ネットワーク環境の点検
・クラウドサービスの点検
前半で触れた“セキュリティ対策が環境変化に追いつかない”“安全対策が後回し”は、これらテレワークの要所で起きるリスクに対する十分な理解、そして対応が進んでいないことと同義と考えていいでしょう。
まずテレワークに使うネットワークとして、多くの企業が利用するVPNです。課題の一つは、ルータなどVPN機能を実装した機器の脆弱性で、2020年から2021年にかけて自宅のVPN機器に侵入され、ここを足場に企業LANのサーバーへのアクセスを許した事件が多発しました。
VPNの課題はもう一つ、利用者がスルーしてしまうことです。朝夕など混み合う時間帯、ネットワークに接続しにくく、つながっても反応が遅いため、自宅のWi-Fi、ターミナル駅などに設置された無料Wi-Fiで、直接社内サーバーやクラウドにつないでしまうケースも多々あるようです。外出先での短時間のWi-Fi利用から、機密情報が盗み見されることはレアケースとしても、セキュリティ上の穴は放置できません。
“シャドーIT”にも留意を
クラウドシフトが進んだ環境では、サービスの利用状況を点検する必要があります。クラウドの資産は事業者が守っているとしても、ユーザーのパスワード管理、共有設定のミスによる情報漏えいのリスクは軽視できません。特にここ1~2年、著名なクラウドサービスを利用するためのログインパスワードを盗むフィッシングメールも頻発しています。
企業が正式に許可していないサービスの利用にも注意が必要です。数年前の調査ですが、米国のセキュリティ企業が発表したレポートによると、一般的な企業のシステム管理者は、自社で使われているクラウドサービスの数を30~40と認識していましたが、実数は900を超えていたそうです。
その大半は、企業が認めていないサービスを従業員が影で使ってしまう、いわゆる“シャドーIT”です。セキュリティ管理者の眼が及ばないところで、しかも自宅などのテレワーク環境で、情報漏えいが起きてしまうと、発見も対処も遅れてしまうでしょう。
繰り返しになりますが、テレワークの導入には、まず企業情報システムの環境変化、そしてVPN、Wi-Fi、クラウドなど新しいシステム/サービスが内包するセキュリティリスクを認識し、VPN機器の脆弱性対策、クラウド利用時のルール設定といった備えが不可欠なのです。
実践的な“指南書”も参考に
テレワーク環境の構築・運用は、環境変化とセキュリティリスクの存在を前提に、前記した3ステップ(1.意思決定→2.研修・教育→3.システムの点検・整備)で進めることになります。
具体的な対応を行う際に、現状のリスク分析、推進チームの編成、適合するツールの選定などの作業が入ってきますが、ここは各組織の業務形態とシステムの状態に依存します。今回は詳細には触れませんが、実践の段階で役に立つ“指南書”と言うべきガイダンスがいくつか公開されています。
・総務省:中小企業等担当者向け 「テレワークセキュリティの手引き(チェックリスト) 第2版」
・総務省:テレワークセキュリティガイドライン(第5版)
・情報処理推進機構:テレワークを行う際のセキュリティ上の注意事項
例えば、“まず何からはじめればいいか”という疑問に対しては、「テレワークセキュリティの手引き」、自社にあったシステム構築の方法、ツールの選択時は、「テレワークセキュリティガイドライ」が示す「テレワーク方式の選定」や「テレワーク方式の特性比較」などの項目で、方向は見えてくるはずです。
脅威に対抗する新しいトレンドは?
最後にテレワーク環境の安全対策として有効な技術について、いまのトレンドを2~3ご紹介しましょう。
・エンドポイントセキュリティ
・ゼロトラストネットワーク
・CASB(Cloud Access Security Broker:キャスビー)
エンドポイントセキュリティは、ファイアウォールを軸とする境界防御ではなく、PCなどのエンドポイント、ネットワークを構成する個々の端末に着目し、安全性を向上する方式です。具体的には、アンチウイルスを軸としたEPP(エンドポイント保護プラットフォーム)、先鋭化する脅威を100%防ぐことは難しい現実を直視し、侵入されても被害が拡がる前に検知して、対策を行うEDR(エンドポイントにおける保護と対策)などが含まれます。
情報セキュリティの分野でもっともホットな話題がゼロトラストです。文字通り、“信頼はゼロ”の考え方で運用するもので、現実の世界に当てはめると、経営者でもシステム管理部門の責任者でも、オフィスに入る際は認証し、確認が取れた人以外は通しません。ネットワークもこれと同様、すべての情報端末に対して、他の機器にアクセスするたびに認証を求める方法です。
また最近は、シャドーIT対策として、社内で利用されているクラウドサービスを、システム側で一括管理できるCASBというシステム/サービスも普及してきました。
クラウドとモバイル機器を使う業務が常態化した環境における安全対策は、エンドポイント単位の保護、ゼロトラストのような考え方がベターです。テレワークの実践に際し、システムの導入・増強、更新時などに、“エンドポイントセキュリティ”“ゼロトラスト”“CASB”などのキーワードを優先基準の一つにしてもいいでしょう。
まとめ
新しい情報システムの稼動時には、社会全体としても個々の企業単位でも、セキュリティリスクが発生することは、ある程度は避けられません。テレワークのように急速に拡がり、利用者のすそ野も広いシステムは特に注意が必要ですが、一つひとつの対策はそれほど難しいものではないため、着実な実践を心がけたいものです。