全2437文字

 新型コロナウイルス感染症対策の一環として、企業の間で急速に広まったテレワーク。今や働き方のニューノーマル(新常態)として定着しつつあるが、一方でテレワークを巡るセキュリティー関連のトラブルも後を絶たない。例えば不必要に外部公開されているリモートデスクトップやVPN(仮想私設網)を侵入口に悪用した標的型ランサムウエア攻撃などだ。企業ネットワークほど強固ではない自宅ネットワークを踏み台に、テレワーク中のパソコンから企業ネットワークに侵入する攻撃も懸念されている。

 被害が相次いでいる要因の1つには、企業が事業継続を優先してテレワーク向けのICT環境の整備を急ぐあまり、セキュリティー強化が後手に回っている点がある。情報処理推進機構(IPA)セキュリティセンターが2021年4月7日に公表した調査では、会社の管理下にないクラウドサービスやソフトウエアを従業員が許可なく使う「シャドーIT」を放置している企業が一定数いるなどの実態が明らかになった。

 同調査「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の主な目的は、勤務環境が多様化しコミュニケーション手段がオンライン主流となったニューノーマルの時代において、ITサービス企業とユーザー企業が直面しているセキュリティー上の課題を明らかにする点にある。IPAは2020年11~12月に個人と企業・組織それぞれに向けてアンケート調査を実施。個人向けでは2372人から、企業・組織向けでは287社のITサービス企業と218社のユーザー企業、合計505社から回答を得た。

緩めたルールの締め直し、中小企業で課題に

 調査結果でまず目を引くのは、テレワーク環境におけるユーザー企業のセキュリティーガバナンスが、ITサービス企業のそれに比べて不十分である点だ。

 一例が、前述したシャドーITへの対応だ。テレワークの実施に当たって例外的に社内のセキュリティールールを緩め、しかもその状況を放置しているユーザー企業が少なくないという。

 具体的には、従業員101人以上のユーザー企業の14.5%、同100人以下のユーザー企業の20.5%が「会社が許可していないソフトウエアやクラウドサービスなどの業務利用を一時的に『やむを得ず』認め、現在(2020年10月末時点)も認めている」と回答した。十分なセキュリティー監査を実施せず、リスクの所在を把握しないまま従業員にITサービスを使わせていることになる。一方、ITサービス企業で同様に回答したのは従業員数101人以上の企業のうち4.3%、従業員数100人以下の企業でも11.7%にとどまっている。ユーザー企業とITサービス企業で10ポイントの開きがあった。

緊急事態宣言や新型コロナ禍の影響により、特例や例外を認めたセキュリティー対策の社内規定・規則・手順
緊急事態宣言や新型コロナ禍の影響により、特例や例外を認めたセキュリティー対策の社内規定・規則・手順
(出所:情報処理推進機構の資料を基に⽇経クロステック作成)
[画像のクリックで拡大表示]

 「多くのITサービス企業がコロナ禍以前からテレワークを実施していたのに対し、ユーザー企業の場合、2020年4月の緊急事態宣言発令をきっかけにテレワーク移行を余儀なくされたケースが少なくない」。調査に携わったIPAの小山明美セキュリティセンターセキュリティ対策推進部エキスパートはこう話す。

 テレワークに緊急移行したユーザー企業のIT部門は不慣れなテレワークに適応するのに手いっぱいで、さらに紙の書類のデジタル化や「ハンコ出社」対策も並行して進める必要があった。そうした事情から、ひとたび緩和したセキュリティーのルールや手順を再び厳格にし、新たなルールややり方を設けるなどの追加作業が「二の次」になってしまったとみられる。