ニューノーマルな働き方とインターネット活用術 テレワークにおけるセキュリティ対策

2020年4月7日、政府が最初の緊急事態宣言を発出しました。いまだに緊急事態宣言がどういうものなのかはっきりしませんが、要点としては「不要不急の外出の自粛」、「人との接触の抑制」がメッセージとして強く伝えられました。

新型コロナウイルスという未知の脅威が瞬く間に世界に蔓延し、人々は特別な場合を除く外出の自粛、人との接触を控えるという、前代未聞の生活様式を強いられることになりました。また、企業に対しては、出勤の抑制を目的にテレワークの活用が推奨されています。当然、筆者も特に用がない日は自宅でテレワークすることになりました。

IIJは24時間365日、インターネットの設備運用を主たる業務としているため、テレワーク環境とはいかないまでも、必要時にリモートから会社のネットワークに接続して、業務可能な環境が整っていました。キャパシティはさておき、社員のほとんどにリモートアクセスのアカウントが発行され、大きな混乱もなくテレワークに移行できたと思います。しかし前述の通り、緊急時用のテレワーク環境を自宅から日中ずっと接続したまま通常の業務をするというのは、ほとんどの社員にとって初めての経験であり、筆者も最初は大変苦労しました。

IIJは自社設備以外にリモートアクセスサービスを複数提供しており、最初の緊急事態宣言の発出後、お客さまから多数のお問い合わせ、お申し込みを頂戴しました。

テレワーク環境整備が急ピッチで整えられたのが、だいたい昨年の4月から6月あたりでした。そして7月くらいになると、違った観点のお問い合わせをいただくようになりました。「セキュリティ」についてです。

それまでは、とりあえず使えることを目的にある意味、突貫工事的にテレワーク環境を構築したお客さまが、混乱にひと区切りがつき、ふと心配になったのかもしれません。「テレワーク環境のセキュリティ、大丈夫？」と。

これはあとになってわかったことですが、テレワーク環境のセキュリティは二極化しているのが現状のようです。一つは、一定レベルでのセキュリティ施策は実施されており、安全な環境でテレワークを実施できている企業。もう一つは、まったくセキュリティ対策を考慮していない企業です。どうしてこのようなことになったのでしょうか？

一部の大手企業に多いのですが、もともとテレワーク制度があった企業では、一定レベルでセキュリティ対策が施されていました。なぜならそのような会社は、テレワーク制度をつくるタイミングで、セキュリティを考慮したシステム設計をしていたからです。具体的には、テレワーク時は、VDI（仮想デスクトップ基盤）を利用することや、持ち出しPCではUSBメモリへの書き出しを禁止するなど、システムで対応できる部分は実施済みであり、さらにテレワーク実施規定など、テレワークで業務するうえでの会社としてのルールを明確化していたため、急ピッチな環境整備が必要になった際も、それを水平展開するだけで適切なテレワーク環境を整えることができたのでした。

他方、そもそもテレワークでの業務など想定していなかった企業もありました。こちらは、リモートアクセス機器もなければ、VDIもありません。しかしテレワークをしなければならず、とりあえずリモートアクセス機器を設置して、会社への接続はできる状態にしたものの、PCは会社で利用していたものをそのまま自宅へ持ち帰って業務を続けたり、従来は持ち出しはいっさい禁止だったはずのタブレットをなし崩し的に自宅に持ち帰り、WEB会議だけはできる状態にした……。つまり、セキュリティ対策とは無縁の状態で、何はさておき、テレワークできる状態にしましたといったケースです。

では、何からやればいいのでしょうか？　PCは全てVDIにして、資産管理ツールを入れてソフトウェアを管理し、USBメモリなどの可搬型媒体の書き込みは制御して、全てのイベントログはとっておくなんて、お金も運用する人もいない状態では、できるはずもありません。

そこで、筆者がおすすめするテレワークセキュリティの第一歩は「テレワーク業務規程の策定」です。そんな「規定」を作ったところで、社員は読まないし守らないので意味がないという声が聞こえてきそうですが、たしかにおっしゃる通りかもしれません。では、「規定」ではなく、もう少し実用的な「テレワークガイドブック」を作成してはいかがでしょうか？

今、世の中で起こっているのは、小さい小さいセキュリティ事故だと思います。例えば、WEB会議。そもそも不慣れなWEB会議なのに、さらにMicrosoft Teams、Zoom、Cisco Webexなど、会社ごとに異なるツールを使うため、招待されて初めて操作する場合も出てきます。資料共有をする時など、使い慣れていないので「おっと、この資料じゃない、間違い、間違い」と他社の情報を表示してしまったり、メールソフトが一瞬映って、取引先名が見えてしまったりなど、みんな大人なので言わないかもしれませんが、それも立派なセキュリティ事故です。

そういった小さいセキュリティ事故を起こさないために、代表的なツールの使い方や気をつけるポイントをまとめた「テレワークガイドブック」を作成して、社員のリテラシー向上につなげることは、今すぐ始められる、より実践的な対策ではないでしょうか。

筆者はこの1年、テレワークセキュリティの実態調査、顧客環境のアセスメントなどを行なってきて、これまでは小さかったある脅威が、大きな脅威に変わったことに気づきました。それは「内部不正」です。

これまでも内部不正は企業セキュリティの一つの対象分野でしたが、それほど注目されていませんでした。なぜなら、会社の機微情報を持ち出すために大量のデータをクラウドにアップロードすればアラートがあがりますし、メール送信にも監査の機能がついています。カバンから私物のUSBメモリを取り出して会社のPCに挿すなんて不自然なので、実行に移しにくいでしょう（「うちの社員は内部不正などしないはず」と、目をつぶっていたのかもしれません）。

しかしテレワークになるとどうでしょうか？
今、テレワークで使用しているPCに顧客情報や個人情報などの機微情報が保存された状態で業務をしている人はかなりの割合でいると思いますが、もしそうした人が悪意を持てば誰にも気づかれず、あっという間にデータの不正利用が可能なのです。そんなことが起これば「うちの社員に限って……」ではすまされません。

今後、テレワークが主流になれば、内部不正も大きな脅威となり、目をつぶってばかりはいられなくなります。よって、経営層は早急に「内部不正対策」の予算を確保し、対策を指示することをおすすめします。

テレワークになると社員同士の関係が気薄になったりマネージメントがしにくくなるなど、課題が山積みかと思います。全てを自社で解決するのではなく、セキュリティなどの専門分野は、弊社のような企業に委ねることでコストパフォーマンスをあげつつ準備・対応ができるようになりますので、ぜひご検討ください。