2020 年 07 月 22 日
ハンコ出社はもう不要!テレワークを推進する電子契約を支えるセキュリティ対策
テレワークの実態
新型コロナウイルス感染症拡大防止にともない、多くの企業や組織が時差通勤やテレワークにより業務継続を行ってきたと思います。東京商工会議所が 2020 年 4 月と 6 月に公表した調査では、テレワークの実施割合が 41.3 ポイント増加しており、テレワークを開始した時期では緊急事態宣言発令前と発令以降では、発令以降の割合が半数を超える結果となっています。
また、300 人以上の従業員規模の企業で「テレワークを実施している」が、4 月の公表結果では 57.1% でしたが、6 月の公表結果では 90%と非常に多くの企業が新型コロナウイルス感染症拡大防止のためにテレワークを実施しています。
日経 BP 総研の調査では、緊急事態宣言発令後にアンケート調査を行っており、テレワークの利用頻度としては、「週 3~4日」以上という回答が約 64% となっています。
テレワーク実施にあたっては、セキュリティ対策製品やサービスの利用、機密情報の持ち出し、漏えい対策やテレワークを実施するうえで従業員のセキュリティ意識が重要となります。
一般社団法人日本スマートフォンセキュリティ協会(JSSEC)の調査では、テレワークを実施するようになったきっかけの回答として、「新型コロナウイルスの感染拡大が問題化したことを機に、職場にテレワークの制度ができて実施することになった」26.6%、「新型コロナウイルスの感染拡大が問題化したことを機に、職場にテレワークの制度はないが、急遽テレワークが許可された」26.2% と、急遽テレワークを実施した回答者が半数を超える結果となっています。
その背景からか、「個人所有のパソコン」を利用するケースが多く「新型コロナウイルス感染拡大を機に」テレワークを実施した回答者が多かったことが要因と思われる結果が出ています。
テレワークでの利用端末の状況
「 テレワーク状況とセキュリティに関するアンケート調査レポート 」
テレワーク時の端末の環境では、勤務先で使っているデータを「USB メモリで持ち出し、個人所有パソコンで利用する」「外部サイトにアップロードして個人所有パソコンで利用する」「何らかの方法で臨時に持ち出し個人所有パソコンで利用する」という回答もありデータの取り扱いについてセキュリティ対策が十分行われているか、端末利用ルールが規定されているかなども考慮する必要がありそうです。
また、テレワークでの機密情報の取り扱い方の変化では、以前は持ち出し禁止だった情報について「臨時に持ち出している」「テレワークでも利用できると正式に認められた」「テレワークでも利用できると一時的に認められた」という緊急的な対応となっているようです。
テレワークでの機密情報の取り扱い方の変化
「 テレワーク状況とセキュリティに関するアンケート調査レポート 」
テレワークを実施する企業が多くなっていますが、なかには今回の新型コロナウイルス感染症拡大防止のため、急遽テレワークを実施したところも少なくないと思います。
会社支給の端末で業務を行うということが一般的ですが、私有端末で代用したというケースが多く存在しています。
テレワークですすむ電子契約と電子署名
テレワークの主な業務として、メール、ビデオ会議やグループウェアなどを活用した稟議申請業務、勤怠管理、見積書および請求書の作成などさまざまな業務が考えられます。
また、テレワークの実施により急増している業務課題としては、契約書の作成、押印といったものがあります。ハンコという日本特有の商慣習により、押印のために出社を余儀なくされている従業員の方も多いようです。
このような状況から政府は、契約は当事者同士の合意により成立するものであり、 書面の作成および押印必ずしも必要ない という見解を公表しています。また、契約書の真正性を確保するための手段として「電子署名や電子認証サービスの活用」としており、働き方改革や今後電子契約が進んでいくものと考えられます。
契約文書の電子化にあたっては、電子文書に適切な電子署名とタイムスタンプを付与することで、電子署名法により紙の契約書と同等の法的効力を持つとされており、電子文書の完全性(改ざんされていないこと)、本人性(本人が確かに署名したこと)を証明する仕組みによって法的効力を持たせることが可能です。
電子契約や電子署名の詳しい内容については、こちらの BLOG で解説していますのでご参照ください。
サイバートラストのトラストサービス「iTrust」では、クラウド型の電子契約サービスと連携しており、電子契約などに用いる電子署名、契約や書面の電子化で求められる真正性を保証するための認証基盤を提供しています。
「iTrust 電子署名用証明書」を発行する電子認証局は、国際的な電子認証局の監査規格である WebTrust for CA 監査に合格し、アドビ株式会社の認定するルート証明書リスト Adobe Approved Trust List (AATL) に登録されており、「iTrust 電子署名用証明書」で電子署名された PDF は、Adobe Acrobat、Acrobat Reader などで「有効な電子署名」として視覚的に信頼を確認できます。
また、「iTrust リモート署名サービス」は、書面の電子化や電子契約で求められる電子文書の長期間に渡る真正性を確保する長期署名に対応したクラウドサービスです。
本サービス は、JIPDEC の厳格な基準に基づく審査を実施し、厳格な規程をもって運用されている リモート署名(電子契約)サービス として、国内で初めて「JIPDEC トラステッド・サービス ※」に登録されています。
※インターネット上のサービスを第三者機関である JIPDEC が安全なサービスであることを確認し、信頼性(トラスト)を担保する仕組み
本記事に関連するリンク
テレワークに欠かせないセキュリティ
このような業務を行う場合、社内システムやクラウドサービスを利用して実施されていると思います。しかし、認証方法として「ID/ パスワード」のみというケースが多いのではないでしょうか。
テレワークの導入にあたっては技術(システム)のみの導入では不十分で、「ルール」「人」を組み合わせた多層防御による対策が重要です。
過去の BLOG でも紹介しましたが、ID/ パスワードの漏えいによるなりすましのリスクは常に起きていますので、業務に関わる情報や機密情報を利用する場合には、VPN 経由でシステムに接続することや電子証明書を用いた端末認証を行うことで不正アクセスや危険な端末からのアクセスを防ぐことができます。
総務省の「 テレワークセキュリティガイドライン 」にも、
「テレワーク勤務者からの社内システムにアクセスするための利用者認証について、多要素認証方式を用いたり、電子証明書を併用したりするなどの技術的基準を明確に定め、適正に管理・運用する必要があります。」
テレワーク時の認証に、電子証明書を使った認証の必要性が明記しています。
サイバートラストでは、電子証明書を用いた端末認証サービス「サイバートラスト デバイス ID」を提供しており、企業ネットワーク(イントラネット)へのアクセス時に VPN と組み合わせて使えるだけではなく、企業が使う Office 365 や G Suite などのクラウドサービスへの シングルサインオン にも使えるので利便性向上にも役立ちます。また、クラウド型電子契約サービス「 クラウドサイン 」を利用する際にも、シングルサインオンを使用してセキュアな接続環境を実現することができます。
