予想もしていなかった新型コロナウイルス感染症の拡大で、企業の規模を問わずリモートワークを迫られたものの、急激な環境の変化にセキュリティ対策が追いついていない企業も少なくない。この記事では、急速に広がるリモートワークの裏で見え隠れする「シャドーIT」のリスクと対策について解説していく。
中小企業でも導入が進むリモートワークと顕在化するリスク
新型コロナウイルス感染症の拡大により、多くの企業でリモートワークの導入が進んだ。東京都が実施した、緊急事態宣言下の2021年5月の調査では、リモートワークの実施率は64.8%に及んでいる。また、従業員300名以上の企業では82.8%、100名以下の企業でも59.7%の実施率となった。
国内の企業において急速に導入が進むリモートワークだが、企業にとっては予測できなかった事態であったがゆえに、準備が万全とは言い難い状況だ。実際、中小企業を中心にセキュリティリスクが顕在化しつつある。
1)業務において個人所有の端末を利用するリスク
キヤノンマーケティングジャパンが2021年4月に実施した、国内企業に勤務する20歳~59歳の男女600名を対象とした調査では、スマートフォン(以下、スマホ)やノートパソコンなど個人所有の端末を業務に利用していると回答した人が4割近い結果となった。
個人が所有する端末の場合、セキュリティソフトがインストールされていないケースも少なくなく、マルウェア感染などのリスクがある。また、端末に顧客情報が暗号化されていない状態で保存されていれば、その端末を紛失、あるいは盗難に遭ってしまった場合に、端末内の情報が漏えいする危険性がある。
2)個人契約のクラウドサービスを業務利用するリスク
先の調査では、3割近くが個人契約・登録でGmailやDropboxなどのクラウドサービスを業務で利用していることも判明した。業務上の必要に駆られ、個人所有の端末や個人契約のクラウドサービスを使う従業員も一定数存在する。これらのクラウドサービスは企業の管理範囲外となるため、従業員がそのサービス上でどのような行動をしているかを把握することは難しい。また、共有設定のミスやセキュリティレベルが低いサービスを利用することで、情報漏えいの危険性が伴いかねない。
3)暗号化されていない通信で社内ネットワークにアクセスするリスク
リモートワークでは、主に自宅などの社外ネットワークを利用して業務を行うことになる。そのため、通信した内容はインターネットを経由することが前提となる。仮に公衆Wi-Fiなど、暗号化されていない通信を経る場合、盗聴のリスクが高まるなど、機密情報の漏えいリスクが生じる。
4)個人のSNSアカウントで取引先とやり取りするリスク
近年、SNSの利用は一般化しているが、個人のSNSを業務利用することは一定のリスクをはらむ。SNSは容易に画像やファイルなども送信できるため、誤って機密情報を送信してしまう危険性がある。取引先と親密になり、個人的にSNSを交換することも考えられるが、業務に関する情報のやり取りを個人利用のSNSで行うことは避けるべきだ。
このような行為は「シャドーIT」と呼ばれ、情報漏えいなどのセキュリティインシデントにつながる危険性があり、多くの企業にとって配慮すべき問題と言えよう。
シャドーITによるセキュリティリスク
個人所有の端末やクラウドサービスなどを業務に利用するシャドーIT。その結果として、起こり得るセキュリティリスクについて、具体的に解説していく。
1)機密情報の持ち出しによる情報漏えい
企業が使用状況を管理・把握していないノートパソコンやスマホ、USBメモリーなどを用いて、機密情報が持ち出されるリスクがある。個人契約のクラウドストレージなどへ業務に関連する情報をアップロードすることなども該当する。従業員が悪意をもって故意に行う場合と、業務上の必要に迫られ行う場合が想定される。
2)社外でインターネットを利用したことによる情報漏えい
リモートワークでは自宅やカフェなどをはじめ、社外のインターネット環境に接続する機会が増加する。自宅や公衆Wi-Fiはセキュリティレベルが低い状態の回線もあるため、情報漏えいのリスクが高まる。また、公衆Wi-Fiの中には「野良Wi-Fi」と呼ばれる、盗聴を目的とした悪質なアクセススポットも存在するため注意が必要だ。
3)アカウント情報の漏えいによる不正アクセス
個人契約しているクラウドサービスのアカウント情報が何かしらの理由で漏えいしてしまう危険性もある。個人用のクラウドサービスに勤務先の顧客情報やシステム設計書などの機密情報が保存されている場合、不正アクセスなどによって、重大な情報漏えいに発展する可能性がある。
4)個人所有端末からのマルウェア感染
勤務先の管理下にない個人所有の端末を業務で利用していた場合、マルウェアに感染した端末が社内ネットワークに接続することで、他の業務用端末に感染が広がり、機密情報などが漏えいする、あるいは不正アクセスなどの被害に発展する危険がある。
5)端末の紛失・盗難
カフェや移動中などに個人所有の端末を置き忘れる、あるいは紛失してしまうこともシャドーITを発端とするリスクだ。勤務先が支給・管理している端末であれば、起動時のパスワードロックや内部ストレージの暗号化などの対策が講じられていることも多い。しかし、個人所有の端末の場合は、そもそも起動時のパスワードロックすらかけていないことも想定される。
シャドーITを抑制するための対策
シャドーITを抑制するために、企業はどのような対策を講じるべきだろうか。シャドーITは従業員が意図せず行ってしまうことも想定されるため、ツールの活用と同時に従業員教育が重要となる。
1)リモートワーク時のセキュリティルールを明確にする
リモートワークを行う際のセキュリティルールを明確にしておくことが重要だ。個人所有の端末を利用しない、利用する場合は指定されたツールを導入する、あるいはUSBメモリーを利用しないなどといったことをルールとして明示しておく必要がある。具体的なルールを就業規則上に、罰則規程と合わせて盛り込むことで抑止力になり得る。
2)抑止のためのITツールを導入し、業務環境を整備する
従業員がシャドーITを行う理由として、「環境がないためやむを得ず」というケースは少なからず見られる。膨大な業務量を処理することが求められる現場の従業員が、効率化を目的として個人契約のクラウドサービスを利用するといった話はよく聞かれる。こうした状況を改善するために、従業員と話し合いの場を設け、企業側で業務上必要となるクラウドサービスを契約する、あるいは必要な端末を貸与するといった対応を講じることはシャドーITの抑制につながる。
3)セキュリティ研修などで従業員の意識を高める
先述のとおり、業務ルールの策定やITツール導入も重要だが、セキュリティリスクを従業員一人ひとりが認識しておくことが最も重要だと言える。機密情報の漏えいにより、企業に被害が生じるだけでなく、その責任を個人に求められる可能性があることを周知し、セキュリティ対策を行うことへの従業員の内的動機を高めることもシャドーITの抑制に有効である。
4)セキュリティに関する正しい情報を知る
経営者や管理職、従業員が情報セキュリティに関する正しい知識を習得することも大切である。IPAの「テレワークを行う際のセキュリティ上の注意事項」、総務省が手掛けた「テレワークセキュリティガイドライン」も体制構築の検討材料として役立つはずだ。
また、サイバーセキュリティ情報局では情報セキュリティ全般に関する、最新の情報をさまざまな立場に合わせて解説している。定期的にメールマガジンやTwitterなどをチェックし、情報収集の一助としてほしい。
セキュリティ意識を高めるために、リスクを認識し、社内で共有すること
日増しに高まるサイバー攻撃のリスクは、大企業だけのものではなく、中小・零細企業、さらには個人にまで着実に及びつつある。数年前までのように、どこか遠い地での出来事という認識を持ち続けていると、いつかは大きな落とし穴にはまりかねない時代を迎えている。こうした状況下において、企業におけるセキュリティ対策に共通する重要なポイントは、まず自社のリスクを適切に把握することだと言える。気づけばリモートワークが一般化するなど、時代は大きく変化しているからだ。
また、DX(デジタルトランスフォーメーション)が加速するなど、デジタルテクノロジーが業務と切っても切り離せない時代になっているという前提に立ち、情報セキュリティへの意識を高め、業務上発生し得るセキュリティリスクに対峙していくことが求められているのではないだろうか。
