新型コロナウイルス襲来 ついに本格テレワーク時代に突入~必要な備えはできていますか?緊急対策提案~

コラム
セキュリティ

 新型コロナウイルスによる武漢封鎖を受けて、チャーター便による邦人脱出が始まったのが、2020年1月29日、大量の感染者の発生となったダイヤモンド・プリンセス号が横浜に寄港したのが、2020年2月3日、それから瞬く間に日本全土は新型コロナウイルス脅威に晒されました。ついには安倍首相が、3月2日からの全国の小・中・高等学校・特別支援学校の臨時休校を要請するに至りました。 これを受け、大手企業のテレワーク利用が新聞紙面、ネットニュースに取り上げられるようになりました。多くの企業が「働き方改革」のため、テレワーク、リモートワークの利用の検討、試用、また実際に利用を進めてきた状況でありましたが、新型コロナウイルスの脅威は、日本全体を本格的なテレワーク時代に突入させつつあります。
 ただ、ここで勢いに押されてテレワークやリモートワークを開始するのではなく、自社がテレワーク、リモートワークの備えが出来ているか、今一度確認してほしいと思います。

※テレワークとリモートワーク;テレワークとリモートワークは、両者ともほぼ同じく「オフィスから離れた場所で仕事をすること」を指します。テレワークは、オフィスを中心として在宅やサテライトオフィスで仕事をするイメージが強く、リモートワークは、そもそもオフィス以外の遠隔地を拠点として仕事をするイメージがあります。

1.新型コロナウイルスの脅威

   皆さんの会社でもBCP対策の一つとして、「パンデミック対策」については検討済みであったと思います。しかし、残念ながら「人の性(さが)」なのでしょうか、実際に起きてみないと真剣には考えられなかったということはないでしょうか。
 新型インフルエンザ及び鳥インフルエンザに関する関係省庁会議「事業者・職場における新型インフルエンザ対策ガイドライン」(2009年2月9日)では、BCPにおける地震災害と新型インフルエンザの相違を表1のようにまとめていました。新型インフルエンザを新型コロナウイルスに読み替えて頂いて、この表を見て頂きたいと思います。当たり前ではありますが、BCP対策と言っても地震災害対策と新型コロナウイルス(新型インフルエンザ)では、状況が全く異なります。特徴的な違いは、新型インフルエンザや新型コロナウイルスでは、①人に対する被害が大きいことと、②長期化すると考えられ予測が困難なことです。
 どうでしょうか。我が社はBCP対策を策定済といっても、実際に新型コロナウイルスに見舞われている今、対策は検討済みという会社はどれくらいあるのでしょうか。今、日本中の店頭で姿を消しているマスクですが、皆さんの会社では、マスクを準備していましたか。この資料の【参考3】企業における備蓄品リストの中には、不織布製マスク(サージカルマスク)人と接する可能性のある従業員X1~2枚/日X出社日数が上がっています。
 また、長期化している間に、地震災害や大規模台風に見舞われる複合災害の可能性があるので、さらに油断はできません。また、長期化すればするほど事業継続レベルを上げざるを得ず、情報共有対象の情報資産は増えていきます。

2.一度流出した情報は、取り戻せない

 パンデミックが近い状態となると、どうしても在宅勤務、テレワークの実施で乗り切ろうということになりがちです。ここで敢えて警鐘を鳴らすとすれば、「覆水盆に返らず。一度流出した情報は取り戻せない。」ということです。
 クラウドサービスの進展で、Microsoft365やBox等を使えば、企業や官公庁、自治体等のそれぞれの組織内と組織外との情報共有は容易にできるようになりました。しかしながら、情報共有できることと、情報共有してよいということは同じではありません。情報共有できるということは、必要なセキュリティ対策を行わないと情報漏洩するということと同じなのです。
 これまでは、テレワークはどちらかというと「働き方改革」の視点で進められてきました。ですので、情報資産を守れる範囲内で進めてきたと思います。しかし、現状のような非常事態になると、「非常事態だから情報資産のガードを緩めてでも在宅勤務、テレワーク推進だ。」という声があがるかも知れませんが、そういう時こそ「運悪く、または、悪意をもって情報漏洩が発生する。」という思いをもって、着実に、正道に基づいた判断が必要と考えます。

3.テレワーク利用上の情報資産に関するポイント

 テレワークの実施となると、どうしても個々のセキュリティ技術に目が向きがちですが、「情報資産の保全」の観点から一番重要なのは、「テレワークセキュリティガイドライン(第4版)」(総務省 平成30年4月)にも記載されている「社内で扱う情報について、その重要度に応じたレベル分けを行った上で、テレワークでの利用可否と利用可の場合の取扱方法を定める。」です。
 最重要の情報資産については、ネットワークを分け、在宅勤務を含め社外からはアクセスさせないという考えも必要になってきます。テレワークシステムのセキュリティ強度によっても、テレワークで使用できる情報資産の範囲が変わってきます。表2に示すように、テレワクークシステムのパターンも様々です。特に、パターン③の場合、会社所有でないテレワーク端末に電子データが残る可能性があり、追加の対策が必要です。情報システム部門は、自社のテレワークシステムの強度、限界、脅威について、自部門だけでなく、経営者、社内各部門にわかりやすく周知徹底し、システムのセキュリティ強度に応じた利用を進めるように支援する必要があります。

4.社外との情報共有にはリスクがある。重点監視が必要です

 社内において十分審議してテレワークを始めるとしても、知っておいて頂きたい「情報共有のリスク」があります。
 本事例は、テレワークセキュリティガイドライン(第4版)に掲載されています。
■トラブル事例
 あるプロジェクトで、パブリッククラウド上に業務ファイルを保存し、外部委託策を含めた関係者で共有していたが、設定ミスでアクセス制御がかかっておらず、誰でもアクセスできる状態になっていた。この結果、競合他社に先駆けるメリットが失われてしまい、プロジェクトの中止に至った。

 このトラブル事例に対し、ガイドラインでは「クラウドサービスに関するトラブルとして、設定ミスによる情報漏洩が多発しています。クラウドサービスを利用したファイルの安全な共有のためには、システム管理者、テレワーク勤務者それぞれにおいて、次の各点に留意することが必要です。」とし、以下の留意事項をあげています。
 ①システム管理留意事項
 ⅰ)アクセス可能なアクセス元IPアドレスまたはドメインを制限する。
 ⅱ)脆弱性対策が速やかに行われるなど、セキュリティを重視している事業者が提供するサービス
   を利用する。
 ⅲ)クラウドサービスへのアクセスに用いるIDとパスワード、電子証明書等を厳正に管理する。
 ②テレワーク勤務者、システム管理者留意事項
 ⅰ)重要な情報を保存する用途に利用する前に、アクセスを許可していないIDではアクセスできな
   いようになっている。
 ⅱ)予めファイルを暗号化した上でクラウド上に移送するなど、多重の安全対策を講じる。

5.緊急対策提案

 いかがでしょうか。①については、確実な作業が期待できますが、②については人手作業で、確実な実施に不安を抱きませんか。本来は、このような作業は人手ではなく機械化で、人手で行ったとしても機械的にチェックすることが望ましいです。最新の製品では、②-ⅰ)、-ⅱ)を補助するものも販売され始めていますが、現実的に、明日から直ぐ導入とはいかないと思いますので、人手での対応の改善策を提言させて頂きます。この緊急事態への対応にあたって、まず確認されてはいかがでしょうか。
<緊急対応策>
 職場で②のチェックを行う責任者を複数名置き、②-ⅰ)、②‐ⅱ)のチェック手順書を作成し、テレワークの対象の情報資産について全件、ダブルチェックを行う。

6.重要情報資産へのアクセス

 社外からのアクセスには、情報漏洩だけでなく、改ざん、削除やウイルスによる暗号化などの脅威があります。これを避けるためには、重要な情報資産の保管は社外からはアクセスできないシステムにしておく必要があります。情報共有には写しのデータを使用し、暗号化しておくことをお勧めします。
 クラウド内に重要情報資産がある場合は、外部からの侵入の可能性は“0”にはできません。「改ざん、削除やウイルスによる暗号化などの脅威」などから守るために、クラウドの外で写しを保管する方法もあります。

まとめ

 新型コロナウイルスによる急な本格的テレワーク時代への突入に向けて、これまでテレワークの準備を進めてきた企業も含めて、今一度足元を見直してはどうでしょうか。情報は一旦洩れると元には戻せません。それだけに慎重な対応が必要です。
 現在、テレワークを使用している、または、これから使用する企業の緊急対策として、以下を提案しました。
 ・経営者は、情報資産毎の重要度とテレワークシステムのセキュリティ度合いを加味して、情報資
  産毎にテレワークで使ってよいかの判断を行うか、再確認する。
 ・テレワークシステムのアクセス権限設定に、情報漏洩につながるものがないか、複数人以上で再
  チェックする。
 ・重要度の高い情報資産をテレワークシステムで利用している場合は、暗号化していることを確認
  する。
 また、重要とされる情報資産については、外部から改ざん、削除、ウイルスによる暗号化を受けないよう、テレワークの情報共有システムとは、別システムとして分離しておくことが望ましいです。別システム化までできない場合でも、システム外に副データを保持しておくことをお勧めします。

関連記事