テレワーク推進に伴うリスクと新たなセキュリティ体制の必要性(第十回)

【特集】アフターコロナ時代のビジネス戦略 とは
D4DRでは、今回の新型コロナウイルス(COVID-19)の流行を経て社会がどのように変化するか、そして各業界がどのような戦略にシフトしていくべきなのかを考察した「アフターコロナ時代のビジネス戦略」を毎週連載しています。
連載一


アフターコロナ時代のビジネス戦略 -通信・セキュリティ-

新型コロナウイルス感染症(COVID-19)の影響で、約2ヶ月間にわたって移動に制限をかけざるを得ない状況になり、勤務する場所を問わない働き方が可能な環境整備が急速に進んだ。テレワークを新たに導入した企業も多くあることだろう。ところが、こうした状況に乗じたサイバー攻撃の事例も後をたたない。

本稿ではテレワークの現状やリスクについて取り上げ、重要性を増すセキュリティと、新たなサービスの余地について考察する。

テレワークの急拡大によるトラフィックの増加

感染拡大防止に伴い、多くの企業がテレワークを導入・利用し始めている。以前から働き方改革の一環としてテレワーク推進は行われてきたが、今回の事態により、より一層の導入が進んだだろう。東京都の調査によると、テレワーク導入率では62.4%(都内企業 30名以上)、社員の実施率も昨年12月と比べ大幅に増加している。業種別の導入率も、業種を問わず拡大しているとの調査結果となっていた。

また、ネットワークトラフィックの変化に関する調査結果も発表されている。NTT東日本の調査からは、新型コロナウイルス感染症の影響によるトラフィック量増加が確認できる。特に昼間の通信量変化が顕著であることが分かる。

引用元:新型コロナウイルス( COVID-19 )に対するNTT東日本の取り組み

同様に、IIJのフレッツトラフィック量調査からも、テレビ会議と思われるアップロードトラフィックの推移変化が読み取ることができる。

トラフィック増加の裏で問われるセキュリティ

テレワークの導入が増加する中、サイバー攻撃の件数も増加している。その背景には、新型コロナウイルス感染症に伴う行動の変化や混乱が考えられる。​Googleの脅威分析グループ(TAG)によるCOVID-19とオンラインの脅威に関する調査結果によると、COVID-19に関連する有害なメールをGmail上で1,800万件/1日、他2億4,000万を超えるスパムメッセージが検出されているという。世界を巻き込んだパンデミックの混乱に乗じて、行政機関や会社関係者を装い、企業や在宅勤務者を狙っているのである。

中小企業のセキュリティに対する意識も底上げする必要がある。​一般社団法人 日本損害保険協会の中小企業のサイバーリスクへの意識調査によると、大企業に比べ中小企業のサイバー攻撃対策の意識が希薄であるとの調査結果が出ている。調査の結果を見るに、自社が攻撃の対象となる可能性を低く捉えているところが多く、またサイバー攻撃の被害を十分にイメージできていないことが原因であろう。

しかし、この調査結果が事実であるならば、攻撃者としてはセキュリティリスク意識の高い、または対策を重要としている大企業よりも、比較的意識の緩い中小企業を狙う可能性が高くなるとも考えられる。

また、昨今新たに認識されている脅威として、サプライチェーン攻撃というものがある。取引先や関連会社である中小企業を攻撃して踏み台にした上で、ターゲットとなる大企業を狙う攻撃手法のことである。例えば、侵入しておいた中小企業のコンピュータから、拠点間通信によりにより大企業へ攻撃を仕掛けることが可能となる。それだけでなく、取引先や関連会社(中小企業)を装って、攻撃先(大企業)へ攻撃メールの送信も可能となる。受信側としては、攻撃メールなのか正規のメールなのかの判別が困難となる。

上記のような例からも、中小企業をターゲットとした攻撃は、決して珍しくないと言える。企業の規模を問わず、セキュリティ体制の構築は急務なのである。

一方、テレワークの普及による情報漏えいのリスクとしては、以下のような例が挙げられる。

オープンスペースの場合

  • 作業中に背後からPCを覗き見られる
  • 公衆無線LANによるセキュリティリスク(非暗号化通信の盗聴、偽装した無線LAN)

ビデオ会議の場合

  • 画面共有時における機密情報の露見(アプリケーションウィンドウ切替時に取引先名や案件名などが漏洩など)
  • ビデオ通話時に映し出される背景(個人の情報に関わるもの、住んでいる場所など)
  • ミーティング認証設定誤りによる部外者の侵入

その他

  • 多数で共有で使用しているPC上の、ファイルの取り扱いやログイン済みのセッション

テレワークで使用したPC・作成したファイルを社内に持ち込む場合も注意が必要だ。社内に比べて、家庭内のネットワークのセキュリティは徹底されていない場合が少なくないからである。例えば、ネットワーク機器のファームウェアが古いバージョンのまま放置、コンピュータのセキュリティパッチ、アンチウイルスソフトの更新定義ファイルの未適用などが考えられる。自宅でマルウェア等に感染していて、そのまま社内に広まってしまうことが起こりうる。

こうしたリスクのある中で、今までのセキュリティリスク意識だけで安全に利用するのは難しいであろう。

フレキシブルな働き方を目指すため、安全に働くために、社内の情報セキュリティポリシーの再検討、リスクとなりうることの洗い出し・解決を行うことが大切である。各機関が公開している情報を参考にするのも良い。

また、たとえ今すぐに導入できなくとも、ゼロトラスト・ネットワーク(「社外ネットワークは安全」といった境界型でのセキュリティ概念ではなく、全てを信頼しない、全てに認証と検査を実施する)などの新しい概念を念頭においておくことも大切である。

さらに、働き方改革によりBYODの議論も進むかもしれない。BYODBring your own device)とは、企業側が従業員に業務用デバイスを貸与するのではなく、個人保有のデバイスを業務で使用することを指す。各デバイスの管理や使用回線などの管理がより重要になるが、業務効率の向上やサポート工数が軽減されるというメリットがある。テレワーク推進も相まってこのような体制を導入する企業が増えれば、必然的に一人ひとりのセキュリティ意識もこれまで以上に問われることになる。

Photo by Arget on Unsplash

企業が求められる対応とそれを支えるサービスへの需要

以前よりテレワーク推進の動きはみられていたが、新型コロナウイルスの大流行が転機となりさらなる増加をみせた。おそらく一過性のものではなく、各業界のDX(デジタル・トランスフォーメーション)や、場所・時間に縛られることのないフレキシブルな働き方への変革はアフターコロナ以降も継続していくだろう。むしろ、働き方を含めて全面的にDXを推進する好機と捉える向きもある。DXと切っても切り離せないセキュリティ問題が今後の企業の取り組むべき主たる課題となることは想像に難くない。

上記のBYODのような管理方法に切り替えてセキュリティ体制を構築するか、従来の企業側での包括的な管理体制のまま強化を図るか、企業の対応は二極化することが予想される。いずれにしてもどのように最適な方法を選ぶかが重要であり、日々進化するテクノロジーを安全かつ最大限に活用できるか否かの岐路に立たされていると言っても過言ではないのである。

一方で、このような転換点にビジネスチャンスが生まれることは言うまでもない。本連載の第一回で紹介したような「4つのY(トレーサビリティ、フレキシビリティ、ミックスドリアリティ、ダイバーシティ)」が今後様々な面でスタンダードとなることを考慮すると、それぞれの事情を抱える人が各々に最適化された働き方で生産性を最大化するためには、その環境を支えるサービスも欠かせないということになる。

例えば、これまでのコワーキングスペースは都心のターミナルのそばなどが多かったが、これからはベッドタウンのそばの従来サテライトオフィスと呼ばれていたようなスタイルのコワーキングスペースが新しいビジネスチャンスとして伸びる可能性がある。また、BYOD導入のハードルを下げるサービスとして管理プラットフォームが登場することも期待される。先の見えない不安から副業や兼業が増えることを想定すると、業務によってシステムを安全かつ容易に切り替えなければならない人も出てくるだろう。柔軟な働き方と強固な安全性を両立するため、テレワーク向けのセキュリティサポートがこれまで以上に求められることになる。

今回のようなパンデミックを含め、非常時を想定せずしてアフターコロナ時代を生き抜くことは難しい。あぶり出されたリスクや脆弱性をきちんと整理し、アップデートを図っていくことが今後の成長につながるのではないだろうか。


参考情報: テレワーク時や中小企業向けの情報セキュリティ情報

テレワーク勤務のサイバーセキュリティ対策
警視庁 サイバーセキュリティ対策本部

テレワークのガイド、ガイドライン、事例等
一般社団法人 日本テレワーク協会

中小企業とNPO向け情報セキュリティハンドブック
NISC 内閣サイバーセキュリティセンター

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
〜新型コロナウイルスを題材とした攻撃メールの例〜

IPA 独立行政法人情報処理推進機構

新型コロナウイルスに乗じた犯罪 – 注意喚起情報 –
JC3 一般財団法人 日本サイバー犯罪対策センター


次回「アフターコロナ時代のビジネス戦略」のテーマは「農業」、6/17(水)更新予定です。



アフターコロナ時代のビジネスに関連するサービス内容・お見積り等は、以下をご参照ください。

さらに深堀りしたいというご相談や、D4DRが持つ事例や実績、コンサルティング・リサーチについてのご質問がございましたら、こちらよりお気軽にお問い合わせください。

最新記事公開の際にはFPRCのTwitterアカウントからも告知しておりますので、是非ご確認ください。

FPRC( フューチャーパースペクティブ・リサーチセンター )は、D4DR株式会社のシンクタンク部門です。

【ダウンロード資料】未来予測年表Monthly Report

 本レポートでは未来予測年表をベースに、日々のリサーチ活動で得た情報の中で、未来予測に関連した事柄をピックアップし、コメントを記載しています。また、レポート前半には、特に大きな動きのあった業界や技術トピックスについてまとめています。先月のトピックスの振り返りや、先10年のトレンドの把握にご利用いただける内容になっています。

 

関連記事

関連サービス