2020年4月時点で、日本国内での新型コロナウイルス感染症の患者は1万人に迫る勢いで増加し、政府は各企業に対して7割の人員の在宅勤務・テレワークを強く要請しました。
各企業でも現在情シス担当者の方々がさまざまな工夫を凝らしながらテレワークの体制を整え、維持するために尽力していますが、同時に考えていかなければならないのが「終了時にすべきことの洗い出し」です。
付け焼き刃での対応を余儀なくされてしまうテレワークでは、どうしてもスタート時点で完璧な体制を整えることは難しいのが現実です。
だからこそ「ゼロトラスト」の考えで終了時にもそのセキュリティを担保するために何を行うべきか、また今後再度テレワークを行うためにどのような振り返りを行うべきかをしっかりと把握しておくべきです。
今回は、テレワークの実情と起こりがちなトラブルやセキュリティの担保方法、そして大規模なテレワークの終了時に一体何に注意するべきなのか、セキュリティ担当者の目線から検討していきましょう。
セキュリティ担当者の観点から見たテレワークの普及と実情
働き方改革のひとつとして叫ばれていたテレワークは、個人の時間の活用方法を広げるとともに、出勤等にあてる時間から開放された場所・時間を問わない仕事のスタイルとして推奨されていました。ただ今では、感染症対策の側面からに強く導入が要請されています。
さて、では現時点での導入率はどの程度なのでしょうか。
総務省の調査によると、テレワークを導入していた企業は平成27年時点ではわずか16.2%にとどまっています。制度としては導入していても実施している企業はさらに少ないというケースも多く見受けられました。
では直近ではどうでしょうか。最新のデータでは2020年4月に東京商工会議所の調査結果が出ています。こちらによると、都内ではテレワーク導入率はいまだに26.0%、導入を検討している企業も19.5%にとどまっているとのことです。
割合も大切ですが、この調査でもっとも注視すべき点は「テレワーク実施上の課題」です。テレワーク導入が困難な企業を除いて、下記の3つの課題が多く回答されています。
・社内体制の整備
・パソコン等ハードの整備
・セキュリティ確保
どれもセキュリティ担当者の取り組むべき施策であることは間違いないでしょう。これまでにセキュリティポリシーの導入や、セキュリティ環境を整えていなかったツケが回ってきていると筆者は強く主張します。
テレワークに関するセキュリティの構築に関するノウハウは既に多く語られています。内閣府のサイトでも「テレワーク中のセキュリティとして何が必要なのか」を始め、気をつけるべきポイントが多数指摘されています。
今からでも遅くはありません、自社に必要かつ、現時点で不足している箇所をしっかりと洗い出すべきでしょう。
テレワーク中に起こりがちなトラブル事例
もちろん、セキュリティ体制を整えたからといってトラブルが全くなくなるわけではありません。ここ数ヶ月で、急にテレワークを導入した結果として発生したトラブルの話題は非常に多くなっています。さらにそれは日本だけのものだけではありません。世界的に見て多様なトラブルが発生しているのです。
VPNネットワークが、自宅からつながらないなどといった初歩的なものから、急きょ会議ツールとして導入したZoomがインストールできない、突然切断されるといった特定のタイミングで発生するものまで、トラブルの種類は多岐にわたります。ユーザーでトラブルの対応をすることができなかった場合は、もっともトラブルを解決できる立場にいるセキュリティ担当者に連絡をするのは必然です。セキュリティ担当者はセキュリティ担当者で自分の仕事をしているのにも関わらず、トラブル対応で時間を奪われていく――といった事例は定番と言って差し支えありません。
もちろんトラブルには、ユーザーのコンピュータ・ネットワークの環境が悪い、といった基本的なものから、利用しているクラウドサービスが停止しているからつながらないといった、セキュリティ担当者が対応に苦慮するものまであります。セキュリティ担当者で対応仕切れない例を挙げますと、2020年3月にはビデオ会議ツールのZoomはユーザー数の増加に耐えられず、サービスが部分的に停止するトラブルが発生しました。この時にはセキュリティ担当者への問い合わせが殺到したと言います。
さらに、外部ツールを利用することによるセキュリティ上の懸念もさまざまです。上述のZoomはそのソフトウェア内で情報漏えいを招きかねないマルウェア的挙動を発生させていたり、システムに大きなセキュリティホールを発生させていたりと、セキュリティ上のトラブルが連続しています。
こういった「どうにもならないトラブル」から「どうにかなるが、対応に時間を取られるトラブル」まで、さまざまなトラブルにセキュリティ担当者が振り回されることになるのです。
テレワーク終了後に(今からでも)行うべき対応
また、トラブルはテレワーク中だけに限りません。セキュリティ担当者は大規模・同一タイミングでのテレワーク期間が終了した後に、ユーザーが正しくテレワークをできていたのかを確認する必要があります。なぜならマルウェアの感染等は実際の被害が起きていなくても発生している可能性があるからです。セキュリティ上の問題が起こる前に、セキュリティ担当者がしっかりと確認しなければなりません。
BYOD等、個人の端末を利用した場合ではこの対処がもっとも重要になります。中にはユーザーに提供するべきデバイスが用意できず、やむなく個人の私有端末を利用してもらうケースもあるでしょう。そういった場合、最初の時点ではセキュリティ担当者が端末を管理できていなかったことになります。管理できていない端末での挙動が正しかったのかを確認しなければ、会社が維持しているセキュリティポリシーが正確に運用されたのかを評価することはできません。
「セキュリティが担保されていたかどうか」の評価は、自社の情報漏えい・サイバー保険の見積もりや保証の可否、プライバシーマークやISOなどの認証制度の維持の可否に強く関わってきます。企業価値の毀損(きそん)に関わる問題なのです。テレワーク期間中にセキュリティトラブルが発生しなかったからといって、安心してはいけないということです。
テレワークでは「端末での作業やトラブル時のフローをしっかりと管理できているか」「ログとして追うことはできるのか」を確認する必要があります。今からでも遅くはありません。ユーザーに確認をとり、セキュリティソフトの導入・設定はもちろんのこと、トラブル時の対処方法や、終了後に確認してもらう内容をしっかりと用意し、万が一に備えておきましょう。
先を見据えて考えておくべき準備とは
もちろん、テレワークはこの感染症の流行が終わったからといって一切なくなることはないでしょう。働き方改革として政府が推奨している以上、正しく社内の勤務制度に取り入れていく必要が発生します。
つまり、発生したトラブルや、必要となった申請・許可体制、導入時の設定など、自らが直面した状況をしっかりとまとめ、自社にとって最適化された「テレワークを前提としたセキュリティポリシー」を策定する絶好の機会です。今回のテレワーク要請期間が、テレワークを渋っていた企業に対して強く導入を勧めるチャンスであるという面も持つことを、セキュリティ担当者は意識しておくべきでしょう。
また、可能であれば総務や人事といった他部署と連携も検討したいところです。セキュリティ担当者だからこそできる指摘、例えば勤怠管理に対するシステム面での最適化といった改善点を提案できるかもしれません。
まとめ テレワークは一過性のものではない、先を見据えよ
現時点で、新型コロナウイルス感染症の勢いはとどまるところを知りません。政府の対策チームは、「人との接触を8割まで減らさなければ、感染のスピードの沈静化は1ヵ月以上にわたって望めないだろう」と指摘しています。そのため、すべての企業においてテレワークは必須のものなっているといって過言ではないでしょう。
セキュリティ担当者にとっては突然降ってきた急務であることが多い、テレワークの導入。しかしながら、このタイミングを契機ととらえて、自社にとって最適なテレワーク体制・セキュリティポリシーを策定することができれば、セキュリティ担当者として最大の価値を発揮できます。
セキュリティソフトの導入・最適化は当然であり、必須です。それ以上にセキュリティ担当者は自らの作業を容易にするためにも、自社のテレワーク時の導入・トラブル対応をマニュアルとして策定していきましょう。