5月14日に緊急事態宣言の一部解除が発表され、リモートワークから通常出勤に戻る企業もある中、関東圏ではステイホームがまだまだ叫ばれています。このため、リモートワークを当初の予定よりも延長して実施している企業も多いように感じます。
弊社は名古屋と東京にオフィスを構えていますが、東京チームはもちろんのこと、名古屋チームも絶賛リモートワークを継続しています。
コロナ禍を受けて初めて実施したリモートワークの改善点を計るため、社内では「働き方改善委員会」が発足、定期的にディスカッションをすることで、仕事のパフォーマンスを落とすことなく快適なリモートワーク生活を送るための改善につなげています。
そんな働き方改善委員会に寄せられた課題の中で、当初から多くの意見が集まったのが「セキュリティ」に関する問題です。
これに関しては、どういった対応・対策が必要なのか、詳しく内容を洗い出し、改善するために、セキュリティ対策チームを別途発足させて対応が始まりました。
ある日いきなりリモートワーク。どんなセキュリティリスクがあるの?
社外での業務は、既存のセキュリティ環境の外で行われることから、あらゆる事故の発生が危惧されます。
弊社の働き方改善委員会セキュリティチームからは、以下のリスクがリストアップされました。
発生しうるリスク
弊社で想定されるリスクは、主に次のようなものがあると考えられます。
- 標的型攻撃
特定のターゲットを狙って送られるメール。攻撃者は、例えば採用担当者向けに履歴書を送るとみせかけ、添付する履歴書にマルウェアを仕込んでくる。 - ビジュアルハッキング、ショルダーハッキング
カフェなどでパソコンの画面を覗き見られる。 - 脆弱性攻撃、ゼロデイ攻撃
ソフトウェアの脆弱性を狙った攻撃。 - 不正アクセス
俗に言われるハッキング。 - デバイスの紛失・盗難による情報漏洩
以下は一部ですが、それぞれ次のような対策を講じたり、改めてリスクに対する意識を共有しました。
標的型攻撃への対策
- (言うまでも無いですが)怪しいメールやリンク、添付ファイルは開かない。
- Zoom等のミーティングIDを安易に使用しない、使い回さない。
ビジュアルハッキング、ショルダーハッキングへの対策
- パソコンに覗き見防止シートを貼る。
- そもそもカフェなど公共の場で作業を行わない。どうしても、の場合は壁に面した席を確保するようにする。
- 打ち合わせ等はカラオケボックスなどをレンタルして行う。
- 席を外す際は、パソコンのモニターをロックする。
脆弱性攻撃、ゼロデイ攻撃への対策
- OSやアプリケーションのバージョンは常に最新のものにする。
- セキュリティソフトを導入し、常にアップデートしておく。
- 利用しているアプリケーションのバージョン更新を確認し、脆弱性報告がされていないかを確認する。
なお、社内コミュニケーションツールを提供するサイボウズではこのような対策を行っているようです。
要約すると、
- 業務に使用するデバイスの紛失や盗難
- 不正サイトへのアクセスやマルウェアの感染
- 外部からのネットワーク盗聴
上記3点において、弊社同様、8割の企業は既に「文化的な」対策をしているそうです。
文化的な対策でよい場合もあるのは確かですが、そうは言ってもセキュリティの観点から「リモートはNG!」という業種・職種もあるのが現実です。