パンデミックとリモートワーク:数多くの危険を理解し緩和するには

The Many Dangers Of WFH

2021/10/13 CyberSecurityIntelligence — パンデミック後の生活に備える際に、企業が抱える数多くの問題の1つとして、在宅ワーカーの IT セキュリティが挙げられる。Velocity Smart Tech 2021 Report によると、リモートワーカーの 70% が、パンデミック時に IT トラブルを経験したと回答し、54% が問題解決のために最大で3時間ほど待たされたとしている。

このような、新しいリモートワーク状況にある従業員は、チャットアプリや共有ドキュメントを利用し、また、物理的な会議の代わりに電話会議を利用し、同僚とのつながりを保とうとする。しかし、多くの人々はサイバー攻撃のリスクに対して、十分な警戒心を持っていないと思われる。

リモートワークでは、従業員が自宅のネットワークや、時には自分のデバイスに頼って仕事をこなすため、様々な危険が伴うことになる。従業員が技術的なスキルを持っていることを、雇用主としては祈るしかないが、万が一、技術的な問題が発生した場合であっても、IT チームができることは少ない。

最近、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Zero Trust Maturity Mode のドラフトを発表した。これは、米国の各機関が、2024年度末までに基本的なゼロトラスト成熟度レベルに到達することを求めるものだ。

ある米国の報告書では、パンデミックの際のリモートワークが原因となり、20% もの企業でセキュリティ侵害が発生したことが浮き彫りになっている。企業としては、オフィスには必要な保護がすべて整っていると感じるだろうが、スタッフが自宅でも作業するという新しいハイブリッドな働き方では、顧客のセキュリティが簡単に損なわれる可能性が生じる。

英国のサイバー・セキュリティ・サービス・プロバイダーである Hicomply は、在宅勤務について適切な予防措置を講じないと、深刻なビジネス・ディザスターにつながると警告している。Hicomply は、情報セキュリティを管理するための SaaS (Software as a Service) プラットフォームを構築/提供し、さまざまな業界で利用されている。Hicomply の COO である David Warren は、「正しい方法で在宅勤務を実施しないと、ビジネス・システムや重要情報に大きなリスクが生じ、悲惨な結果を招く可能性がありる」と述べている。また、実際のコストだけでなく、顧客の信頼や評判の低下も、修復が困難になりやすいものである。

潜在的な問題としては、従業員が安全性の低い WiFi や VPN 接続を利用して機密情報にアクセスするケースや、最新ソフトウェアの運用やウイルス対策が施されていない、個人所有のデバイスを使用するケースなどが挙げられる。また、従業員の自宅では、個人情報やデバイスが盗まれやすいという、セキュリティ上のリスクもある。Hicomply プラットフォームは、ISO/IEC 27001 の認証取得を支援し、企業が有利な契約を獲得するために必要な基準を満たすだけでなく、企業の貴重な情報を保護するのにも役立つとのことだ。

David Warren は、「ISO 27001を導入することで、在宅勤務に関連するリスク管理が可能となる。たとえば、安全なログオン手順/暗号化/情報バックアップなどの技術的対策を実施することで、不正アクセス/盗難/偶発的損失から、大切な情報を守ることができる」と述べている。企業にとって、リモートワークが避けられないという、特定のビジネスニーズがあるはずだ。その際に、在宅勤務のリスクを理解し、また、妥当だと判断するための、安全なリモートワークのためのルール/役割/責任の設定が必要となる。

在宅勤務は、組織と従業員に対して大きなメリットをもたらすが、そのメリットを享受するためには、情報セキュリティ・リスクを真剣に受け止める必要がある。Hicomplyが推奨するのは、ISO 27001 情報セキュリティ・マネジメント・システムを導入し、主なリスクと優先的な是正措置を特定し、組織のセキュリティ管理に対する責任感を従業員に持たせることだ。

また、サイバー・セキュリティ意識向上のためのトレーニングを実施し、IT リソースに十分な人員を配置することも重要だ。遠隔地にいる従業員によるセキュリティ・インシデント報告を受け、また、技術的な問題に関するサポートを行うために、IT 担当者への連絡は常に容易でなければならない。

コロナ・パンデミックにより、否応なしに始まってしまったリモートワーク・シフトですが、さまざまな問題を抱えているのは周知のとおりです。ただ、これらの問題を乗り越えられるのなら、日本の場合は東京への一極集中も緩和できるはずです。文中にある「安全なリモートワークのためのルール/役割/責任の設定」という部分が、とても重要だと思います。いきなりゼロトラストと言い出しても、かなり無理のあることなので、いま、リモートワークでメリットを感じている人たちが、それぞれの組織の中で議論を始めていくということが、とても大切ですよね。

%d bloggers like this: