――リモートワークとなると、自宅に限らず、カフェやコワーキングスペースを利用する人もいます。それによって高まるリスクはありますか?
第三者にPC画面を見られてしまう、あるいはオンライン会議の内容を聞かれてしまうようなリスクは、あることはある。ただ、今いちばん大きいのはコロナウイルスの感染リスクだろう。サイバーセキュリティと直接関係ないが、感染防止のため、社員に「在宅での勤務のみを認める」ときちんと示しておくほうがいい。
外出先では、フリーWi-Fiに接続するリスクが指摘される場合もある。だが、これは正しい使い方をしているなら過度に心配しなくていい。「正しい使い方」というのは、例えばWi-FiにつなごうとしたときにPCに警告が出れば、利用を諦めるといったことだ。今のPCは警告を無視しようとしても簡単にはつなげないようになってきているので、まず問題はない。
リスクを「自分ごと」として認識を
――リスクの把握やそれに対応する体制作りはどのように行えばいいでしょう?
総務省の「テレワークセキュリティガイドライン」は、網羅性があって頼りになる。ただ、これにのっとってやろうとするとセキュリティポリシーを固めるところからの一大プロジェクトになる。今は急を要する状況なので、ここまで話してきたような重点ポイントだけでも押さえておきたい。
――徳丸さんから見て、リモートワークに対する企業のセキュリティ意識はどの程度成熟していますか?
社員が何千人といるような大企業は、割としっかりやれているのではないか。コロナ以前からすでにポリシーが固まっていて、情報システム部門の人的リソースも豊富であれば、野放しという状況はあまりないように思う。
問題は中小企業だ。こうした大企業の動きを表面的に見て、「よそもやっているからうちも」と、準備不足に気づかないまま始めてしまうケースは少なくない。
本来ならセキュリティポリシーを作るところから始めるのが正攻法だ。でも中小だと、社内の情報システム担当が1人、社員の問い合わせ対応やPCのリプレースだけで手いっぱいという会社もある。普段の業務と並行してポリシーを最初から作るような一大プロジェクトを回すのはなかなか難しい。
中小企業の中には「うちなんて攻撃の標的にならないだろう」と油断する向きもあるが、この認識も甘い。最近は「サプライチェーン攻撃」といって、大企業の機密情報を取引先への攻撃を通じて奪おうとするケースが増えている。メーカーの下請け企業なら、重要な技術情報や図面、仕入れ情報など価値が高い情報を預かっている。それ以外にも、攻撃者から見て「価値の高い情報」というのは中小企業経営者や社員が思う以上に幅広い。
業務支援系のクラウドサービスが増え、リモートワークをしやすい時代になってきた。これ自体は非常にいいことだと思うが、犯罪者側からするとこの変わり目はチャンスでもある。企業規模や事業内容にかかわらず、どんな会社も「自分ごと」として、リモートワークのセキュリティリスクを認識してほしい。
