新型コロナウイルスの感染拡大を契機に、デジタルトランスフォーメーション(DX)が加速している*1。中小企業でも「守りのDX」の一環としてオフィス分散や業務プロセス効率化を狙ったテレワーク導入が進み、インターネット経由の社内アクセスやWeb会議、オンラインでの非対面の営業などが普及した。現在コロナ禍は新たな局面を迎え、長期化が予測されている。政府や各企業はアフターコロナをにらみ、ビジネスモデルの抜本的改革や新サービスの創出、多様なライフスタイル実現といった「攻めのDX」の意義をテレワークに持たせ、導入をさらに加速させようとしている。
一方、DXやテレワークでは「ITサービスと利用者の接点や利用形態」が増えることでセキュリティリスクも増大する。IPA「情報セキュリティ10大脅威*2」でもテレワーク環境を狙った脅威が3位にランクインした。また、テレワークの普及につれて中小企業が標的となるケースも増えている。中小企業では一つのセキュリティ事故が企業存続の危機にもつながりかねないが、対策費用が潤沢にあるわけでもない。
そのため、中小企業は生き残りをかけてDXのトレンドへ追随しつつ、アフターコロナで想定されるリスクへ効率よく対処する必要がある。
ここからは、中小企業のDXの主な取り組みであるテレワークにフォーカスする。まず、「脅威」とは、サイバー攻撃や内部不正、過失・不注意などのリスク要因を指す。テレワークに移行した企業でのサイバー攻撃の脅威例を紹介する。
Web会議の普及で利用が急増した「Zoom」では、脆弱な暗号化アルゴリズム、利用者同意なしの認証情報の収集・査閲など、多数の不正アクセスやプライバシー侵害の問題が露呈し、騒動に便乗したフィッシングメールも多発した。
テレワークに欠かせないVPN(Virtual Private Network)機器を狙う不正アクセスも要注意だ。暗号化設定の不備、認証バイパスなど、社内ネットワークへの侵入や情報の改ざんにつながる脆弱性がさまざまなメーカーの機器で指摘されている。
オンラインストレージやWeb会議ツールでは、データは自社の統制範囲外であるクラウド上に保管されるが、サービス公開設定やアクセス権限設定不備により業務データが利用者や攻撃者に露呈してしまう事故が多発している。
これらの脅威が、システムや組織のセキュリティ欠陥である「脆弱性」を突いてシステムや業務データなどの「情報資産」を侵害することでリスクが顕在化する。その結果、テレワーク環境では以下のようなセキュリティインシデントが発生する可能性がある。
さらに、販売機会の逸失による 業務損害、被害に遭った顧客からの損害賠償、レピュテーションの低下による風評被害といった2次被害も発生し得る。
*1 電通デジタル「日本における企業のデジタルトランスフォーメーション調査(2020年度)」
*2 IPA(情報処理推進機構)「情報セキュリティ10大脅威 2021」
まずは、自社のテレワーク方式を知ることから始める(図表‐1)。
図表‐1 テレワーク方式
テレワーク方式 | 概要 | メリット | デメリット |
スタンドアロン型 | ● 予めテレワーク用に持ち出す端末へ保存したデータを編集・閲覧して業務を実施。 ● 社内ネットワークに接続せず、クラウドサービスを使用した業務も行わない。 |
● テレワーク用のシステムの構築やツールの導入は不要。 ● 社内ネットワークに接続しないため、回線影響は一切ない。 |
● 業務は、持ち出し時に保存されたデータで実施できる業務に限定。 ● 必要なデータをすべて端末に保存するため、情報漏えいリスクが高い。 |
VPN型 | ● 端末から社内ネットワークへVPN(仮想専用線)を経由して接続し、業務を実施。 ● オフィス内と同じデータを編集・閲覧でき、端末にデータ保存も可能なため自由度が高い。 |
● オフィス内と同じ業務環境、同じセキュリティレベルを実現できる。 ● 端末にデータ保存が可能なため、通信遅延の際の影響を軽減できる。 |
● 常時接続のため通信回線の影響を受けやすく、回線コストが大きい。 ● 端末へのデータ保存の制限ができないため、情報漏えいリスクがある。 |
リモートデスクトップ型 | ● 端末から社内ネットワーク上の会社端末へリモートワークデスクトップ接続して業務を実施。 ● オフィス内と同じデータを編集・閲覧できる。 ● 接続先を仮想デスクトップ(VDI)に集約させた場合は仮想デスクトップ型と呼ぶ。 |
● オフィス内と同じ業務環境、同じセキュリティレベルを実現できる。 ● 設定により、端末へのデータ保存を制限することができる。 |
● 常時接続のため通信回線の影響を受けやすく、回線コストが大きい。 ● 頻繁にデータ送受信が発生し、通信遅延の影響で操作性が低下する。 |
セキュアブラウザ型 | ● 端末から情報漏えいやマルウェア感染を防止する特殊ブラウザで、社内システムやクラウドサービスにアクセスして業務を実施。 ● 端末に業務データを保存しないことが特徴で、実施可能な業務は限定される。 |
● 業務データアクセスや端末へのダウンロード、印刷を制限可能で、マルウェア感染リスクも小さい。 ● 常時接続が必要なリモートデスクトップ型に比べ回線影響が小さい。 |
● 業務がセキュアブラウザで動作するクラウドサービスやアプリの機能でできることに限定される。 ● 一般的に使用されているWebブラウザとは操作感が異なる。 |
クラウドサービス型 | ● 端末から直接インターネットを経由して、クラウドサービスで提供されるアプリケーションへ接続して業務を実施。 ●クラウドサービスや業務内容によるが、オフィスと近い業務環境を実現することも可能。 |
● 社外で完結し、拡張も容易なため、導入・運用コストが小さい。 ● 社内ネットワークに接続しないため、回線影響は一切ない。 |
● 利用するクラウドサービスが対応している業務に限定される。 ● クラウドサービスの利用状況や、保管データの把握・管理が必要。 |
従来、中小企業のテレワークでは「持ち帰り業務」が主流だったが、コロナ禍やIT技術・環境変化に従い、VPNやクラウドサービスの活用が主流となってきた。
次に、自社のテレワーク方式におけるユースケースを確認する。具体的には、誰が、どの端末から、どういった経路で、何のサービスを使って業務データにアクセスしてどんな処理を行い、結果をどこに保管するかを整理する。特にBYOD*3では、セキュリティ設定が不十分なケースが多く、追加の考慮や業務ルールが必要となる。
ここからは、テレワーク環境を五つの要素に分解し(図表‐2)、どのテレワーク方式や企業規模においても推奨される基本的なセキュリティ対策を紹介する。
*3 Bring Your Own Deviceの略。個人所有の端末を業務に利用することを指す
(1)組織・規程のセキュリティ
(2)端末のセキュリティ
(3)作業環境のセキュリティ
(4)社内システムのセキュリティ
(5)クラウドサービスのセキュリティ
まずは、経営層が(1)を主導し、 IT部門に対応指示して方針や計画・ルール・体制を整備する。整備後に現場の管理者やテレワーク勤務者へ周知・徹底し、意識改革を図ることが重要となる。「中小企業白書*5」においても「デジタル化に積極的な組織文化の醸成や業務プロセスの見直しなどを含めた改革を、経営者が関与して全社的に推進していくことが重要」とされており、セキュリティにおいてもトップダウンで進めるべきである。
次に、(1)で検討した方針・計画に基づいて、IT部門が主導する形で、自社のテレワーク方式・ユースケースのリスク分析結果をもとに対策の指針を明確にする。
その後、IT部門が(2)〜(5)の対策の優先度や実現方式の検討を行い、実行計画を立案する。経営層は、計画が当初方針に照らして妥当か、予算枠に収まるか、自社のⅮX推進スピードと整合しているか等をチェックして承認する。
テレワーク方式ごとの対策詳細は、総務省「テレワークセキュリティガイドライン」*6を参照されたい。
*5 中小企業庁「2021年度版 中小企業白書・小規模企業白書」
*6 総務省「テレワークセキュリティガイドライン 第5版」「中小企業担当者向け テレワークセキュリティの手引き」
中小企業のDXセキュリティ戦略では、経営層の積極的な関与による自社のDXのあるべき姿の明確化と、全社の意識改革が何より重要となる。加えて、アフターコロナでは経営層のビジョンに基づき、クラウドを活用した業務プロセスやDXサービスの開発体制に柔軟に対応できる身軽なセキュリティ対策、それに見合ったルールと体制、さらに、メリハリのきいたIT投資で短期間に効果を刈り取る実行計画もポイントとなる。
DXに積極的に取り組む先進的な中小企業の中には、クラウドサービス型のテレワークでゼロトラストセキュリティ*7を実践し、社内ネットワークに一切接続させることなく、社外のクラウドサービスのみで業務を完結し、必要十分なセキュリティを実現している例もある。
追加投資は必要となるが、自社で運用が必要なセキュリティ対策を軽減できることで、IT部門や利用者の業務効率化、回線費用削減やオフィスの縮小につながり、TCO*10(Total Cost of Ownership)を抑制できる。浮いたコストや人員を新サービス創出に注力すれば、セキュリティ投資を短期間で回収することも可能だ。
DX時代では、目まぐるしく変わる消費者や顧客の要求に応えていくために中小企業の機動性が期待されている。そのために、自社が目指すDXの青写真をビジネスとセキュリティの両面から描き、迅速かつ着実に実行していく経営手腕がいま問われている。
*7 社内外を区別せず、接続単位ごとに端末、ネットワーク、アクセス先のサービスやシステムのそれぞれで強固な認証とアクセス制御を実現するセキュリティ対策の概念
*8 Endpoint Detection and Responseの略。端末の挙動を可視化し、さまざまな脅威を検出して迅速かつ詳細な調査を可能にする次世代のアンチウイルスソフトウェア
*9 Secure Web Gatewayの略。インターネット上のプロキシとして認証・認可を提供し、接続元・接続先を問わず利用者をインターネットの脅威から保護するソリューション
*10 コンピューターシステムやサービスの導入、それらの利用と維持・管理に関わるすべてのコストの総額
※本稿は、月刊誌「りそなーれ」2021年7月号(発行:りそな総合研究所株式会社)への寄稿内容を、一部加筆修正し、転載したものです。