セキュリティを正しくとらえ、安全なビジネス環境を考える

新しい生活様式の中で急増した「テレワーク」という働き方。しかしそこに潜むリスクにも目を向けなければならない。そこでテレワーク導入の最前線でコンサルティングや技術支援にあたっているエキスパートのお二人に、テレワークをめぐるセキュリティ事情について幅広く伺った。

※ 所属・肩書等を含むすべての記載内容は、2020 年 11 月取材当時のものです。

日本に根付いた「テレワーク」 スムーズに移行できた理由

―― 新型コロナウイルス感染症対策としてテレワークが急速に普及しましたが、お二人の部署では働き方に変化はありましたか。

佐藤：日本ユニシスでは以前から週 2 回までのテレワーク制度がありました。緊急事態宣言による変化でいうと、テレワーク勤務の日数制限がなくなり、標準の勤務形態となりました。

山田：サイバートラストでは 2015 年からメンタルヘルスプログラム等を通じてテレワークを試験的に導入し、2019 年からは週 2 回程度に拡大していた経緯があるので、今年の 2 月以降もスムーズに移行できました。社内アンケートでは、テレワークでも業務を効率よく行えているという結果が出ています。

―― テレワークでは「勤怠管理が難しい」「出社・退社がないためにメリハリがつかず長時間労働になりがち」とも言われますが、その点についてはいかがですか。

佐藤：弊社の勤務時間は基本的には 9 時から 17 時 30 分で、パソコンのログイン・ログアウト状況を使って勤怠を管理しています。以前は勤務時間中に仕事を中断することはできなかったのですが、いまは勤務時間中に業務から一時離れることもできるようにしました。もともと弊社ではコロナ禍の前から働き方改革を進めていましたので、業務を自分で管理することに慣れておりました。テレワークが標準となっても違和感なく対応できているのは、そこが理由かもしれません。

山田：私の部署では残業はできるかぎり禁止していて、1 日 8 時間の中でうまく働きましょうということになっています。同僚には、午前中は仕事をして、午後に少し病院へ行って、夕方からまた仕事をする者もおりますし、他にも子育てや介護などの事情がある方も無理なく働ける環境になっていると思います。ただ、メリハリをつけにくいのも確かです。スケジュール表が空いていると、テレワークだから移動時間もなく対応できるだろうと思われて、本人の意向に関係なく朝から晩まで会議を入れられてしまうケースもあります。これは社員のモラル向上が課題ですね。もし現在のような状況が何年も続くとすれば、テレワークのルールや業務スタイルなど、働き方全体のことを考えていく必要があるだろうと思います。

―― 出社が制限されて社員間でもコミュニケーションを取りづらい状況ですが、マネジメント層として工夫されていることはありますか。

佐藤：スケジュールを共有し、少なくとも週 1 回 Web 会議をして全員から報告を受けることでメンバーの状況を把握しています。とはいえ、雰囲気がわかりにくいのは確かです。成果が出ていれば業務としては問題ないのですが、過程が見えないため評価が難しいこともあるので、適宜個別に確認をするようにしています。

山田：私の部門では案件単位で工数管理を行っており、勤務状況に加えて工数でも業務対応状況を把握しています。なかには担当者以外に情報を開示できない案件もあるので、週 1 ～ 2 回程度の部門ミーティングで状況を把握して、トラブルが起きたら部門全体でカバーしています。勤務状況を細かく見るよりも、本人の自主性を尊重して、出てきた課題に対してフォローしていく格好です。なにかあればいつでも、Teams、Slack、電話やショートメールなどさまざまな手段でコミュニケーションが取れるようにしています。

―― 1 人で仕事をするようになって精神面の負荷を感じる人が増えているとも言われていれますが、その点についてはいかがでしょうか。

山田：サイバートラストでは、オンライン飲み会に補助金を出すなど、社員の円滑なコミュニケーションにも配慮しています。個人的にも、毎朝必ずメンバーとコミュニケーションをとり、全員が毎日少なくとも 1 人とは会話するようにしています。他社では急に連絡が取れなくなることもあるそうですので、安否確認とまでは言わなくても、連絡網の維持も必要だと思います。

佐藤：会社としてコミュニケーションを補助する仕組みがあるのはすばらしいですね。弊社では、Teams の雑談チャネルなどを用意して、コミュニケーションをとるようにしています。

セキュリティルールの策定と徹底 技術的対策

―― 両社ともテレワークが根付いていることがわかりますね。セキュリティ面で特別な工夫はありますか。

佐藤：私の部門では以前からお客さま先や自宅なども含めて社外で仕事をする機会が多かったので、いまの状況だからといって何か特別なことをする必要はないように思います。利用するパソコンも、以前からモバイルのために会社から支給されていたものをそのまま使っています。ただし、このままテレワークが長く続くと、気の緩みのようなものも出てくるでしょう。たとえば、「データをパソコン本体に保存しない」とか「禁止されているサイトにアクセスしない」というルールが以前からあるのなら、そのルールを今後も徹底することが必要と思います。パソコンは会社から支給しても社員が繋ぐのは自宅のネットワークですから、重要なデータを適切に制御・管理することが基本であり、かつ、もっとも重要なことでしょう。データの保存場所については、基本的には、すべてのデータは制御されたクラウド上のサービスや社内のファイルサーバーに保管しています。外部記憶媒体も基本的には使えないようになっていますし、使用する場合は、ログを記録して追跡できる仕組みを用意しています。また、近年はコワーキングスペースも増えていますが、弊社の基本的なルールとしては、パソコンの情報を第三者から見えるような場所での業務は禁止です。会社として、サテライトオフィスをいくつか設置し、外出先でも安全な場所で業務ができる環境を整備しています。

山田：技術的な対策としては、メールの送受信や、重要なファイルを扱うサーバーへアクセスする時は、VPN の利用を必須にしています。弊社は証明書の認証ベンダーでもあるので、証明書が入ったドングルなどを使って端末の認証と通信の暗号化の対策をしています。また、モバイル通信の電波が弱い場合や、マンションなどで集合型の共同 Wi-Fi を使用している場合など、ネットワーク回線に不安がある社員に対しては、会社からモバイルルーターを貸し出し、使用できるようにしています。社内・社外のコミュニケーションには Microsoft Teams や Google Meet、Slack といった各種ツールを使うことになりますが、現実にはさまざまな情報漏えい事故が起きていますので、当社推奨でないツールを利用する場合は「重要なファイルは画面共有しない」「重要なファイルをクラウド上にアップロードしない」「機密情報や重要な会話はグループチャット機能で一切行わない」といったルールを設けています。

各社におけるテレワークの実態 業種により異なる対応

―― 広く一般に「テレワーク」と言われるようになりましたが、セキュリティコンサルタントとしてお客さまを支援されているお二人としては、どれほど普及したと感じますか。

佐藤：多くの企業がテレワークを導入しているのは確かだと思います。ただし、IT 系ではない業種では、一時的に休業したり、業務自体を減らしたりして、通常とは違う業務形態にされている印象があります。たとえば、これまで会社のパソコンでやっていた作業の一部だけでも自宅でできるようにと、iPad のような持ち出せる端末を急いで用意したものの、非常に効率が悪くなったという話は聞きます。もともと環境が用意されていないと、すぐに対応するのは難しかったのだと思います。

山田：私の部門のお客さまは、完全にテレワークを実施されている場合と、週に 2 ～ 3 回程度という場合がほぼ半々です。完全にテレワークをされている企業様では、会社からパソコンやモバイル機器が支給されて、しっかりとした環境をもともと用意されていた場合が多いです。他方、週 2 ～ 3 回程度の企業様では、私用の端末を流用する BYOD（Bring Your Own Device）など、自宅ではセキュリティ対策が適切に施されたパソコンが使えないことが多いです。そうすると、Web 会議ができないとか、携帯電話が支給されていないので電話もできないといったケースも少なくありません。

―― 製造業や建設業のような現場作業が主体の業種ではどうでしょうか。

山田：現場作業が主体の業種ではもともと個人への端末支給を行っているところが少なく、事務所の共有端末でメール等を確認するというケースが非常に多いです。テレワークを行うにあたっては BYOD で運用することが多く、そうなると、「サポート切れの古い OS を使っている」「アンチウイルスソフトを入れていない」「ネットワークに繋いでいないと言いながら実は繋いでいる」など、問題がある場合も多いです。

―― 通信の方法には、仮想 PC、リモートデスクトップ（RDP）、VPN などありますが、主流はなんでしょうか。

佐藤：私の部門のお客さまで最も多いのは VPN だと思います。金融系の事務作業などではシンクライアント（VDI）接続が多いと感じており、昨今はお問い合わせも増えています。セキュアブラウザを併用されるケースも増えてきています。

山田：私どものお客さまでは、セキュリティ対策が何もできていない状態で、まずご相談をいただくことが多いです。設立して数年程度の企業様でセキュリティ対策の予算が厳しいがコロナ禍でテレワークを推進する必要があるというケースですね。とくにここ数か月は、セキュリティ対策を初めて検討される中小企業様や、部門単位では実施していたが会社全体としてはこれからという大企業が多いです。

―― お客さまからはどういった相談が多いのでしょうか。

佐藤：テレワークを実施するにあたって最適なソリューションは何ですか、といったお問合せが多いですね。具体的には、個人のパソコンや、個人で使っているクラウドストレージに重要なデータが保存されないようにしたいという、制御のご相談です。実際に行うことは、守るポイントにもよりますが、テレワークだから特別なことをするのではなく、アカウント管理や認証の方法など、仕組みそのものから見直していただくことが多いです。

―― 会社として資産を持たないためにクラウドサービスを利用するケースが多いですが、クラウドのセキュリティはあまり意識されていないように感じます。

佐藤：たしかにクラウドサービスは便利なものが多いのですが、選定するためのチェック項目が必要と思います。クラウドサービスのユーザー側が作成している危険度ランキングのようなものがあるのですが、これを使ってリスクを正しく認識し、各社のルールにもとづいた項目の選定・チェックをご提案することが多いです。また、クラウドはいいものができたらすぐ乗り換えられることもメリットと言われます。しかし、サービスの利用を終了する時、データを正しく削除できるかという視点が少ないように感じます。そういったことも契約時には確認していただきたいですね。

山田：テレワークを機に、オンプレミスからクラウドへ移行したいというご相談は増えているので、やはりガイドラインを作って安全性を確かめるためのご提案をすることが多いですね。

「ルール」「運用」が弱点 初めにやるべきセキュリティ対策

―― 「テレワークへの移行」という点では、お客さまのセキュリティへの認識はどのようなものでしょうか。

佐藤：やや無理をしてテレワークを始めたような企業の中には、テレワークに移行した後で、対応できるルールがないことに気づくケースもありますし、そもそもサイバーセキュリティ全般のリスクを把握されていないケースも多くあります。業務を最優先することは当然ですが、感染の拡大が落ち着いた今こそリスクをはかりなおす良い機会になるでしょう。

山田：実情としては、ISMS のような規格に準拠したきちんとしたテレワークルールを作って、ずっと守り続けている企業は少ないと思います。サイバートラストでは、ルールは随時見直しをしています。今後は、どの会社においてもテレワークルールの維持と向上が非常に重要になると思います。コロナ禍の状況でご相談を受けていると、経営層の方が自らお問合せくださったり、打ち合わせに毎回ご参加いただくことなど、強い関心を持っていただけるようになったと感じます。監査法人とは別に、第三者の評価を受けたいというご相談をいただくこともあります。会社全体として意識が変わってきたのだとすれば、嬉しいことですね。

―― お客さまによって事情はいろいろだと思いますが、初めにやるべき対策は何でしょうか。

佐藤：最初に、エンドポイントのセキュリティ対策を見直していただくと良いと思います。次世代アンチウイルス、EDR、ゼロトラストといった視点がありますが、とにかくエンドポイントの外側はすべて危ないという認識にもとづいて対策することが必要です。

山田：始めやすいものとしては、情報資産管理をおすすめしています。専用ツールの導入が難しいのであれば、手作業で Excel に書き出すことでもかまわないので、できることから始めていただきたいです。Web 会議の "乱入" 事件などでもファームウェアのアップデートが狙われたりしています。

―― 組織や人による対策としては、最低限どのようなものが必要でしょうか。

佐藤：先程から出ているルール作りと徹底というのは、まさに人的対策です。従業員に対して繰り返し教育を行って、セキュリティ意識の醸成を図る必要があると思います。この時に多く課題になるのは、ルールを浸透させるための方法です。周知するのにメールを使うのか、掲示板を使うのか、企業様によって最適なものを選ぶ必要があるでしょう。

山田：弊社でも教育セミナーのご相談は多くいただきます。ただし、いまの状況では全員が集まれる場を作れませんし、オンラインで実施するにも通信帯域を圧迫するなど課題も多々あります。お客さまごとの実態に合わせるためにも、個別に工夫が必要ですね。また教育という点では、標的型攻撃メール訓練はとても重要だと思います。

―― テレワークのセキュリティというと端末側に注目しがちですが、そこからアクセスする先は社内システムやクラウドサービスですから、マルウェアの感染や外部からのアタックを受ける可能性はさらに増えるように思います。

佐藤：日本ユニシスとしては、サイバートラスト様と同様に証明書を使って特定の端末からしか接続できないようになっているので、VPN だからどの端末でもいいということはありません。しかし一般企業では、そこまでアクセスを制御されているケースは多くないでしょう。よく言われる対策には多要素認証のソリューションがありますが、すべての端末に追加する必要があるので案外ハードルが高いですね。その場合は接続を集中管理するクラウドプロキシをご提案するケースが増えています。

山田：どのようにセキュリティ対策を始めればよいかというご相談は多くいただくので、もちろんツールをご紹介することも多いのですが、そもそもの考え方として、ルール作りから始めましょうとご提案することが多いです。たとえば昨年、沖縄県のテレワーク推進事業に関連して、新設するコワーキング施設の設計から参画させていただきました。この時は総務省が事業者向けに発行している Wi-Fi 提供者向けのセキュリティガイドラインなどにもとづいて、事業者向けの注意点に加え、利用者向けに呼びかけていただきたい注意点もあわせてご提案しました。

―― こういうことをすると危ない、ということはありますか。

佐藤：IT 投資、なかでもセキュリティ対策となると、業種によってはあまり費用を掛けられないことがあると思いますが、やむを得ずテレワークを始めた場合は危ないように思います。繋がればいいとばかりに、何の対策もせずに自宅からお客さまと Web 会議をするようなケースは、現実には多いでしょう。

山田：ISMS や P マークを取得しているからと慢心しているような企業様も注意していただきたいですね。例えば ISMS の審査にしても、すべてを見て判断するのではなく、限られた審査時間の中で実施しているので、取得した後も本当にその企業が情報セキュリティの PDCA を回しているのか、審査の結果に頼らず、自ら把握することが必要です。

佐藤：どのような状況であれ、経営層がセキュリティ面で安心しきっているとたいへん危険です。

テレワークの定着にはセキュリティの担保が重要課題

―― 今後テレワークは日本で定着していくでしょうか。

佐藤：業種にもよると思いますが、定着するだろうと思います。いまもパソコンを使って業務をされている企業では、生産性が低下したという話は思ったほど聞きません。都心部ではもともと通勤時の混雑対策としてテレワークに取り組んでいた企業は多かったと思いますが、コロナ禍という緊急事態によってその取り組みがより社会に浸透し、この動きをチャンスととらえて動くことができた企業が、今後大きく成長していくように思います。

―― テレワークが広く認識されたことで、子育てや介護をしながら働くことも可能になってきていますし、企業にとっても本社を東京に置く必要があるのかという話も出てきています。働き方自体がテレワークによって変わりつつあります。

山田：ある食品メーカーが単身赴任制度を廃止するというニュースを聞いてとても驚きました。現場作業があるような企業様でも、新しい生活様式が始まっていることを感じました。サイバートラストとしても、新しい働き方をすでに試験的に始めています。去年のことですが、地方出身で東京に就職したけれども、家庭の事情で実家に戻る必要が出て、退社するかどうか迷っていた社員がいました。そこで会社でサテライトオフィスを用意して、地元に戻っても働ける環境を整備したのです。セキュリティ面での課題はありますが、テレワークは自宅だけでなく、今後より多くなるであろうコワーキングスペースやサテライトオフィスでも行われるようになるかもしれません。

―― ネットワークが繋がればどこでもいいわけですから、テレワークの普及によって IT 環境そのものにも変化が生まれそうですね。

山田：世の中にはたくさんの素晴らしいツールがありますが、それらを活かすには運用面からセキュリティをきちんと担保する必要があり、それを実現するための検討や対策がさらに重要になるだろうと思います。

佐藤：時間や場所の制約がなくなることが一般企業にも評価されると、テレワークに対する意識も変わってくることでしょう。そうなった時にコミュニケーションを取るためのインフラとして、利用しやすいセキュリティを提供していきたいですね。新しいビジネスの形態に対して、IT 系の業種だからこそ率先して取り組んでいくことで、たくさんの事例を作って、お客さまとともに発展していきたいと考えています。

「テレワーク向けセキュリティ診断サービス」 大日本印刷株式会社
感染症対策や働き方改革として導入が進んだテレワークですが、社外での PC や USB の紛失・盗難、マルウェアの感染などによる情報漏洩リスクなどが課題となっています。弊社では、テレワークを導入またはこれから検討する企業に対して、企業の重要情報が漏洩するリスクを「診断シート」によって可視化する診断サービスを提供しております。

「サイバートラスト デバイス ID」 サイバートラスト株式会社
弊社自身も利用している「サイバートラスト デバイス ID」は、会社が許可した端末を厳格に認証し、安全なネットワークアクセスを実現するマルチデバイス対応のデバイス証明書発行管理サービスです。リモート環境下でも正しく端末に証明書をダウンロードできるようになったので、テレワークのセキュリティ対策として自信を持っておすすめいたします。本当にこれが必要かという点も含めたご評価をさせていただければと思います。

本記事に関連するリンク

• 大日本印刷株式会社のセキュリティコラム一覧