AppGuard Blog

テレワークを安全に行うために実践すべきこと

Tech Note

テレワークを安全に行うために実践すべきこと

求められる働き方の改革

現在、新型コロナウイルス感染症(COVID-19)の感染拡大を懸念して企業には在宅勤務やテレワークを活用する等の取り組みが推奨されています。大手企業やIT関連企業が対外的に切り替えを発表する一方で、ここまで大きな社会問題となることを想定しておらず、これから導入を検討する企業も多くいるのではないでしょうか。

総務省が公開している「情報通信白書:令和元年版」のデータを見る限りでは、国内における企業全体のテレワーク導入率は19.1%に留まっており、企業規模別に見ても規模の大きい組織での導入率は比較的高いものの、中小規模の組織においては平均値を下回る水準となっています。

テレワークが成立しない業種や職種も数多くありますが、それでも今回の騒動を契機に導入を検討する企業が確実に増える見込みであるため、テレワークツールを扱うベンダーが我先にとアピール合戦を繰り広げている状況です。しかし、あくまで彼らが提供してくれるのはツールでしかありません。それらを活用するためには自社のルールや慣習が足枷にならないようにマネジメント層が理解を示し、状況に応じて柔軟に仕事のやり方を変えていく必要があります。

マネジメント層からすればオフィスという限定された空間で社員を管理することができましたが、テレワークに移行すると社員の管理方法そのものを変えていかざるを得ません。社員が目の前にいるわけではないので、仕事に取り組む姿勢といった定性的な指標ではなく、業務の成果そのものが評価指標へとシフトしていくことになります。マネジメント層がそのような変化に柔軟に対応できるかどうかもテレワーク導入の成否を分けるのではないでしょうか。

筆者が経験したテレワークの課題

筆者は職務柄、テレワークツールを活用して10年近く経ちますが、自身で活用してきて思うところはオンサイトの業務をテレワークで全て代替することが難しいということです。テレワークを始めるにあたっては、「何ができて何ができないのか」を事前に洗い出した上で「できないこと」に対してはテレワーク用に例外的なルールを設ける等の準備が必要になります。筆者がこれまでの経験を通して特に不満を感じた3つのケースを以下にご紹介します。おそらく多くの組織でも直面するような課題ではないかと思います。

① 必要な情報へアクセスできない
筆者がかつて在籍していた企業は情報の取り扱いに対して非常に厳しいポリシーを持っていました。クラウドサービスも多用していたのですが、業務で取り扱う情報には5段階の格付けがされていて、レベル4と5に該当する特に機密性の高い情報は社内の専用領域以外への保存が許されず、リモートアクセスで社内に接続していたとしても当該領域へのアクセスは禁止されていました。しかし、これらの情報を参照する機会は度々生じるため、その度にオフィスに出向かなければならない状況が発生していました。

② コミュニケーションの取りづらさ
社内にいる時はわからないことや確認したいことがあった場合、周囲を見渡して知っていそうな人に仕事の合間を見て話かけるといったことが容易にできました。しかし、テレワーク環境下では相手の状況が把握しづらいため、メールやチャットツールで質問を投げ掛けて回答を待つという状況が発生します。当然、対面で会話するよりもレスポンスが悪くなりますし、相手の都合で翌日以降に回答が届くといったこともありました。

また、会議のシーンにおいては不要な会議が減るという大きなメリットはあるものの、資料を共有した会話等では聴講者の反応がわかりづらく一方通行な話になりがちで、お互いのコメントを待って沈黙してしまう等のやりづらさを感じたことがあります。また、参加者同士の議論が始まると他の参加者が会話に入るタイミングが取りづらくなり傍観者になってしまうこともありました。社内の見知った相手との会議であればまだしも、社外の方で初めて会うような場合にはより顕著な傾向として現れていました。

③ ペーパーレス化を徹底できない
テレワークを推進する中では資料等を電子データで共有してペーパーレス化していくことが理想とされていますが、現実問題として様々なシーンで紙として出力せざるを得ない状況がありました。例えば、社内においても上長の承認を得る様な場合は申請書類を出力して承認者に対してスタンプラリーが必要でしたし、社外においてもペーパーレス化の文化がない組織に対しては結果として提案資料や見積書等を紙で持参せざるを得ない状況が発生していました。印刷のためだけにオフィスに立ち寄るのも馬鹿らしいため、コンビニのネットプリントを活用していましたが、印刷単価も高くなってしまうため大量印刷が必要な時は諦めてオフィスに戻るか専門出力サービス店へ持ち込む等、余計なところにまで気を使わなければなりませんでした。

テレワークを始める時に考えるべきこと

テレワークを始める時には机上ではわからなかった様々な問題が頻出し、定着するまでの一定期間は組織全体の生産性は低下してしまう可能性があります。ここでは、筆者のこれまでの経験を踏まえて下図にシステム的な側面においてテレワークで問題になりやすいポイントを整理しました。

<社内へのリモートアクセス環境>
社内ネットワークへの接続にリモートアクセスを利用する場合、対象者全員が同時にリモートアクセスを行っても許容できるだけの性能があることを確認する必要があります。同時接続数の超過により社内へ接続できなかった社員や同時接続によるパフォーマンスダウンを不満に思う社員は、意図的にリモートアクセスを利用せずに業務に従事してしまう可能性があります。また、私的利用するために意図的にリモートアクセスを行わない社員もいるかもしれません。

<社内リソースへのアクセス権限>
本来社外に出すことが許されない機密情報を取り扱うのであれば、リモートアクセス経由で当該情報へアクセスを許可するのか検討が必要です。作業効率の観点から社員が社内リソースに保存されている当該情報を複製して端末内や私的に利用しているクラウドサービスに保存する可能性があります。メールや外部記録媒体を利用すれば別の端末に当該情報を移動することができるため組織の管理外領域へ機密情報が持ち出されることも想定した上で情報取り扱いルールを検討しておくべきです。

<クラウドサービスの活用方法>
例えばクラウドストレージサービスやメールサービス等がサービスポータル上でユーザー名とパスワードを入力するだけでサインインできてしまう場合、第三者によって不正アクセスされる可能性があります。メールアカウントが不正利用されるだけでなく、メールボックスの覗き見により受信メールに記載された社内へ接続するための情報が盗み見される可能性があります。

テレワークを安全に行うために実践すべきこと

① リモートアクセス装置のキャパシティプランニング
テレワークを実施する全ての社員がストレスなくリモートアクセスを利用できるように適切なキャパシティを持つ環境を用意します。
※現在はリモートアクセスを用いないSDP(Software Defined Perimeter)という方式を選択することができます。この方式では認証されたユーザーはあらかじめ許可されたネットワークやアプリケーションへの制限付きアクセス権が付与されます。本稿ではリモートアクセス装置を利用する前提でご案内をしています。

② リモートアクセス装置へのセキュリティパッチ適用
リモートアクセス装置の乗っ取りを狙う攻撃が増えており、未修正の不具合を悪用されないように開発元が提供するセキュリティパッチを適用して最新の状態を維持します。

③ 社内リソースへのアクセスコントロール
社員が業務で利用する情報やシステムを選別し、社外から不必要に社内リソースへアクセスできないように制御します。

④ クラウドサービスへのアクセスコントロール
第三者による不正アクセスを想定してクラウドサービスへ接続できるネットワークを限定します。

⑤ クラウドサービスへの多要素認証導入
第三者による不正アクセスを想定してユーザー名とパスワード以外の要素で認証を成立させるようにします。前述のアクセスコントロールと併せてシングルサインオン(SSO)等の仕組みを利用することが推奨されます。

上記に加えて重要なのは従業員が利用する端末自体のセキュリティ対策です。前述のとおり、組織のルールに従わずにインターネット接続する社員は少なからず発生することを想定しておかなければなりません。この状態で外部から何らかの攻撃を受けたことで不正アクセスやマルウェア感染を引き起こしてしまった場合、社員が気付かずに社内とのリモートアクセスを確立してしまうと攻撃者はいとも簡単に社内ネットワークへ侵入することができてしまいます。また、その社員の権限を利用することで社内リソースへもアクセスを許すことになります。

社内にいる時はゲートウェイセキュリティを始めとする多段的なセキュリティ対策の下で安全にインターネットを利用することができます。しかし、社外かつリモートアクセスを介さない状態ではその恩恵を受けることができません。そのため、端末内に実装されているアンチウイルス等最低限のセキュリティ機能だけで外部からの攻撃を凌ぐ必要性があります。テレワークを導入する場合、社員は必ずしもリモートアクセスによる社内との接続状態を維持していないという前提の下で社内にいる時と同等のセキュリティレベルを端末単体で実現していかなければなりません。

AppGuardを利用したテレワーク端末の強化

弊社が提供するAppGuardはWindowsのシステムがサイバー攻撃によって生じるイレギュラーな動作(マルウェアの発症行為や不正アクセス等)を実行できないように制限することができます。ボディーガードの様に保護対象者(Windows OS)に対する侵害行為を制圧(無害化)することでWindowsのシステムの安全を確保して業務継続性を100%保証することができます。

テレワークで利用する端末にAppGuardを導入することで、社員が組織のルールから逸脱して端末を脅威に晒したとしても、その発症を確実に防止することができるため、安心して業務に従事させることができます。

WHO(世界保健機関)がパンデミックの状態であると認定し、この騒動が収束する目処は立っていません。今後、より多くの組織が中長期的にテレワークを利用せざるを得ない状況になると予想されます。

テレワークを検討・導入するきっかけとしては決して喜べる状況ではありませんが、この様な機会を通して改めて安全・安心な業務環境を実現するためにどのようなセキュリティ対策が必要なのか検討いただければ幸いです。


2020年3月18日

株式会社Blue Planet-works

Director, Security Advisor

鴫原祐輔

AppGuardで感染対策を!



ページトップに戻る