在宅勤務とセキュリティ
緊急事態宣言が解除され人の動きも活発になってきました。
あるテレワーク推進企業も会社に行ってはいけないという状況から会社や自宅の両方で仕事ができるように変わってきているお話を聞きました。
在宅勤務の課題
在宅勤務が積極的になり始めた一年半前は課題もたくさんありました。
当時を思い出して見ると
・仕事用の机、椅子、スペースがない
・インターネット環境がよくない
・会社の携帯電話を支給していない
・会社でデスクトップパソコンを利用している
・労務、業務管理がしにくい(仕事しているのか)。よって評価もしにくい。
・家だといつでも仕事ができてしまうので業務時間の区別が取りにくい
・コミュニケーションが取りにくく、報告・連絡・相談の機会も減り適切な指示が出せない
・相手の表情が、わかりにくくチームメイトが何を考えている・どう思っているのか反応がわからない
・書類に押印が必要
・家族の生活環境音がWebミーティングで聞こえてしまう
・Webミーティングで部屋を(今は背景画像を加工できるツールが大半)見られたくない。見られてリモートハラスメントされた。
・Webミーティングする上で、お化粧や服装はどうしたら良いのか。
・ずっと家にいる結果、運動量が減って太ってしまう。
今でこそ在宅勤務になれてきましたけれど、テレワーク開始当初を思い出すと課題も懐かしいですね。
このような課題に対して企業によっては従業員に仕事用の椅子やネットワーク環境を整えられるように在宅勤務手当を一律で支給する企業もありました。
新聞に在宅勤務の際のお化粧のコツといった記事もありました。
このように課題を解決しながらニューノーマルな働き方にも急速に対応してきました。
そして企業としては在宅勤務にあたり情報セキュリティ面に関しても大きな課題となりました。今までは会社内で仕事をするのでネットワーク上での防御など対策を取りやすかったですが、自宅の環境で仕事をすることになるのでVPNを利用しないと会社と同等のレベルでの防御にならない。管理者が見えない場所で仕事をするので情報漏えいさせているかも知れない。同僚と顔を合わせたちょっとしたコミュニケーションが取りにくいので標的型メール攻撃にも騙されやすい状況にある。社用パソコンの紛失、盗難の恐れがあるなど。会社というファシリティであればネットワーク関連や利用パソコン、ソフト等を掌握しているので情報セキュリティに関する対策も取れていますが、会社からパソコンを持ち出してしまうとそうもいきません。なので在宅勤務ができないという会社や一部部門もありました(もしくは、今でもある)。
最近の傾向は
インターネットウィルス関連のニュースではマルウェア・ランサムウェア関連の話題が多いです。実際、全く知らない方からのzipファイル付きの見積もり依頼が届いた話を聞きました。在宅勤務をしていたら、ちょっと隣の同僚に、このメールおかしいよね。なんてことも聞けないために、ファイルを開いてしまう可能性は高いです。うっかりファイルを開いたりしないように標的型メール訓練といったサービスもありますが、どんな手段、手法で攻撃してくるのかは知っておいた方が無難です。そしてランサムウェアは企業に身代金を要求してきます。例えば「ランサムウェア 身代金」で検索すると事例が出てきます。そういった被害についても理解しておいた方がリスク認識は高まります。
従業員としては根拠もなく会社のパソコンだから大丈夫と信じているところもありますので、まずはどんなリスクがあるのかといった事を知ることから必要かも知れません。
それから、緊急事態宣言が解除され会社に出勤する機会も増えてきているので、必然的に社用パソコンを持ち歩いております。今では「ハイブリッドワーク」という言葉も聞くようになりましたが、テレワークとオフィスワークを組み合わせて柔軟に働いている方も多いです。(#朝や深夜、土日など、いつでも仕事するようになったという声もありますが。。。)
こうなると更なるリスク認識をする必要が出てきます。
ハイブリッドワーク以前にも、ヒヤリ・ハットで聞いた事がある話で、社用パソコンが入ったカバンを網棚に置き忘れた。飲み会で飲食店に置いてきてしまった。というなさそうである話です。特に注意が必要となるインシデントです。もっというと盗難にあってしまってはヒヤリ・ハットのレベルではなくなってしまいますね。
もし社用パソコンが紛失・盗難にあってしまったら
本人は冷静さを無くしてしまいます。いつどこに居た時点まで(社用パソコンが入った)カバンが手元にあったか記憶を辿りますが、曖昧なものです。電車なら駅など紛失・盗難した場所にに問い合わせをしながら、警察へも紛失届や被害届を出すことになります。加えて当人は速やかに会社に報告をしないといけません。
しかしながら、探すのに精一杯なのと、見つかる事を信じて会社への報告は後手、後日になることが多いです。
ただ社用パソコン内には個人情報が保存されている可能性が高く、そうなると企業は被害者への何らかの対応が発生することになり、当人がパソコンを探せば済むレベルではないことは明白です。パスワードは当然かかっておりますが、悪意ある方の手に渡ればパスワードを破ることもありえます。
ご参考:インシデント損害額調査レポート2021 (JNSA)
重要事項であるので今ではWindowsでもPCを検索したり、デバイスをリモートロックできる機能も備わっています。
企業としては、より安全な対策を行う必要があるためにパソコンにデータを保存しない方式を採用するなどありますが、ハイブリッドワークのリスク対策に適した秘密分散技術を利用したパソコン内のデータを無意味な状態にするという方法もあります。
まとめ
実際に2018年のものですが調査報告レポートを見ると情報漏洩件数としては「紛失、盗難」は最上位にあり、当時よりパソコンの持ち歩きが増えている今の方が発生件数が増えていることは想像しやすいです。
社用パソコンを会社から持ち出し、仕事をするのは働きやすさに繋がりメリットも多いです。しかしながら、従業員は常に重要な社用パソコンを持ち歩いている事を認識を持つことと企業は、持ち出しルールの策定や盗難・紛失の際のセキュリティ対策を実行する事が大切です。どのような対策をされているか、働き方が変わってきている今、見直す必要がありますね。