![情報労連[情報産業労働組合連合会]](/common/images/logo_ictj.png){kind=logo}
西尾 秀一
NPO日本ネットワーク
セキュリティ協会(JNSA)
社会活動部会/株式会社NTTデータ
特集2020.07
新型コロナウイルスとICTテレワークのセキュリティー
業務の見直しとIT環境の再構築を
2020/07/10
緊急事態宣言などを受けて、多くの企業がテレワークを急きょ導入した。セキュリティー上の課題などについて、テレワークとセキュリティーに詳しいJNSAの担当者に聞いた。
急場しのぎのテレワーク
テレワークの導入をためらう理由としてセキュリティー上の不安が挙げられることが多いですが、テレワークは、対策を取った上で導入すれば情報漏えいが起きることはほとんどありません。
ただ今回は、緊急事態宣言などを受けて急場しのぎでテレワークを導入せざるを得ない企業もたくさんありました。その場合、どうしてもリスクが生じます。
最もわかりやすい事例は、物理的な紛失です。会社のデータを入れて持ち帰ったUSBを紛失してしまったというのは典型的な事例です。
マルウェアの感染リスクも高まります。私物の端末を利用した場合、OSのアップデートをしていないなど、リスクはどうしても高まります。会社の端末を使っていても、無線LANなどの通信環境の設定によってリスクはあります。
テレワークを狙った攻撃はすでに観測されています。上司からの緊急の指示や給付金のお知らせなどを装ったメールなどで侵入してくることもあります。職場では怪しいと思えば周囲の人に相談できますが、自宅だと個人の判断に委ねられる場合が多くリスクが高まります。報告が遅くなったり、対応が遅れたりする問題も懸念されています。
とはいえ、OSやソフトウエアのアップデートや、強固なパスワード利用、パスワードの使い回しをやめるといった基本的な対策をしていれば、そこまで怖がることもありません。問題が起きたケースは、基本的な対策が徹底されていないことがほとんどです。基本的な対策を徹底するとともに、インシデントが起きた際にすぐに相談できる体制を整えておくことが重要です。
気を付けるべきポイント
テレワークのセキュリティーに関して、気を付けるべきポイントを三つ挙げたいと思います。
一つ目は、テレワークから職場に復帰する際の注意点です。
自宅に持ち帰ったPCや私物の端末がマルウェアに感染したまま社内のネットワークに接続すると社内全体に広げてしまいます。ウイルス対策ソフトでチェックするなどの対策が必要です。ただ、ウイルス対策ソフトも万能ではありません。チェック後も外部との不審な通信がないかなどの監視体制を強化することが大切です。日本ネットワークセキュリティ協会が「緊急事態宣言解除後のセキュリティ・チェックリスト」を公開しているので参考にしてください。
二つ目は、リスクの再評価です。今回、緊急避難的にテレワークを拡充したことで一時的にテレワークを許可した業務もあると思います。個々の業務についてセキュリティーを再評価し、ルールや手順の見直しを行うことが大切です。
リスクの再評価にあたってはステークホルダーとの調整も必要になります。一企業だけでは難しい課題もあるので、社会全体で見直しの機運を高めることが求められます。
テレワークのセキュリティーに関しては、情報管理の三原則の一つである「機密性」の観点から語られることが多いですが、残る二つの「完全性」「可用性」の観点からも再評価する必要があると思います。例えば、情報のバックアップ(完全性の観点)や、快適な通信環境(可用性の観点)もセキュリティーの一部として捉え、トータルで見直しを進められればいいと思います。
三つ目は、業務自体の見直しとそれに伴うIT環境の再構築です。セキュリティー体制の整備は手段であって目的ではありません。今までと同じ働き方に戻るのではなく、新しい働き方を模索しながら、それに見合ったIT環境を構築してほしいと思います。
中小企業での導入
中小企業ではテレワークは難しいという声もありますが、導入事例もあります。総務省の「テレワーク情報サイト」では中小企業での導入事例を紹介しています。また、テレワークを導入するためのシステムの開発も進んでいます。IPAではNTT東日本と協力して、自宅から職場に安全にアクセスできる「シン・テレワークシステム」を開発しました。現在は実証実験中で、無償で提供されており、約4万3000ユーザーが活用しています。こうしたシステムや国による支援などを使えば、中小企業がテレワークを導入する際の障壁は減っていくのではないでしょうか。
これまでの情報セキュリティーは、特定の領域の周囲に高い壁を作って外からの侵入を防ぐ「境界防御型」が主流でしたが、テレワークの導入が進むとそれだけでは守りきれないという認識も広がっています。そこで「ゼロトラストネットワーク」という考え方が注目されるようになっています。すべてのユーザーやデバイスなどをリアルタイムで評価して、信用できる相手だけにアクセスを許可して、それ以外は遮断するという動的なアクセス制御を行う仕組みです。これなら、働く場所などを問わずに適切なアクセス制御を行えます。技術の進歩によって解決できる課題もあります。
働く側の心構え
働く側にとっては、インシデントが起きたら自己判断せず、しかるべき部署などに報告することが大切です。一人で抱え込むとかえって自体が悪化してしまいます。基本的なセキュリティー対策に対する責任と自覚を持つことも必要です。
また、今回のテレワークで働く側としてさまざまな体験をしたと思います。社員の声は制度をつくる上で貴重な情報源です。これまでにも、育児や介護を抱えた社員の声からテレワークの導入が促進されてきました。皆さんの経験をぜひ会社に伝えてほしいと思います。