コラムCOLUMN

【連載コラム第1回】テレワーク 社長が考慮すべきリスクとは?

コラム

 コロナ禍でテレワーク・リモートワークといった働き方が急激に普及しました。私が直接知っている範囲の会社でもテレワーク(リモートワークを含む)を強化した結果、オフィス不要という考え方が高まり、「社員が実家など全国に散った」というところも多くなってきています。
 ある人は東北で、ある人は九州で、遠隔地にいるメンバー同士がチームを組んで様々なシステムツールを使って一つのプロジェクトを進める、ということも可能となっています。このように全社的な方向性を定め、そこに向かって全体として突き進むタイプの会社であれば、会社全体のガバナンスを確保・強化しつつ、統一されたテレワークツールが導入され、効率の良い非対面な仕事に転換できます。
 ところが、世の中にはそのような会社だけではなく、「社員が勝手にテレワークができるように工夫したり、ソフトウェアを導入して使っている」ケースが多いのが現状です。しかも、社長や経営幹部が何もしらないうちに…。サイバー犯罪者の立場からこの世間の動きを見ると、世の中が一斉にインターネット経由でテレワークをするようになったことが好機に見えるのです。
 つまり、「犯罪者がうろうろしている道路に面した建物の壁に、社員が勝手に出入り口を作った。」と例えることができる状況が急増したわけです。例えば、よく見かけるのが次の様なケースです。

  • ケース1:会社で使っているファイルを社員個人が契約しているクラウドストレージに置き、会社と自宅のPCの両方から使っている
  • ケース2:CADが動く会社のPCにリモートアクセスソフトをインストールし、自宅からCADを使っている

 いかがでしょうか?皆さんの会社でも思い当たることはありませんか?パソコンとインターネットの機能が豊富になってきた反面、個人でも工夫するとかなり便利な環境を構築できるようになってきたので、ある面ではとても便利な世の中になった訳ですが、一方では大きなリスクが存在することを知らずに使ってしまっていることも多いのです。具体的にそのリスクを解説してみましょう。

ケース1の場合

 会社のPCで扱うファイルは、機密性が高いものから低いものまで実に数多くの種類があります。どうしても守らなければならない(例えば顧客個人情報ファイルのような)機密性が非常に高いものをのぞき、大抵の場合社員のPCに無造作に置かれていることも多いものです。しかも、どんなファイルが誰のPCに入っているのか、など普通の社長には把握しきれません。そのようなファイルが沢山詰まったフォルダーをまるごと、大手IT企業が無料で提供しているクラウドストレージに置くようなことが横行しているのです。
 クラウドストレージと会社のPC、クラウドストレージと自宅のPCのそれぞれを同期すると、会社でも自宅でも全く同じ使い勝手でパソコン仕事が出来るので、非常に便利なことこの上ありませんし、適切に管理された状態で使えば働き方改革にも大きく寄与します。しかし、会社が全くあずかり知らないところで、社員が勝手にクラウドストレージを使ってしまった場合には大きなリスクが発生します。
 クラウドストレージのIDとパスワードの管理がおろそかであれば、犯罪者がそこへ不正ログインをしてしまうかもしれません。会社のPCはウィルスなどのマルウェアからガードされる仕組みを持っていたとしても自宅のパソコンにそれが無い場合、自宅PCに感染したマルウェアがクラウドストレージのファイルを破壊したり盗んでしまうことも起こりえます。更にクラウドストレージ経由でマルウェアがファイルに感染し、そのファイルを社内のPCから別の社員のPCに感染し社内で蔓延する、というぞっとするようなことも起こりえます。
 このような事件が発生した時、その社員は責任を負いきれるでしょうか?社長や経営層の監督責任も免れることはできません。

ケース2の場合

 リモートアクセスツールを社内のPCに導入する、ということは、「インターネットを越えてPCの中を覗くことができるようにする」ということと同義です。
 適切なリモートアクセスツールを使えばリスクを回避することも可能ですが、無料や数百円程度で配られている様なリモートアクセスツールの場合は、アクセス元とアクセス先の厳重な管理ができないため、第三者の侵入を許してしまうリスクがあります。この手口を使った犯罪の場合、犯人が社内のPCを自在に使えることになるので、「ファイルとそれを動かすソフトを同時に使える」状態になってしまうことに注意を払うべきです。
 ファイル単体では、そのファイルを開くための高価なソフトウェアが必要なので、犯人側に一定の高さのハードルがあります。ところがリモートアクセスでは、ソフトもファイルも使えるので、例えばCADであれば、リモートでCADソフトを起動し、ファイルを開いて図面を表示し、それをPDFで書き出すことができてしまいます。つまり図面の形で盗んでしまうことが可能となるのです。犯人側のハードルは非常に低いものとなることをご理解頂けると思います。

 散々脅し文句を並べてしまいましたが、便利で安全なテレワークを実現するためには、それ相応のセキュリティ対策や社内ルールと社員教育が必要なことを感じて頂けたかと思います。しかも全世界中テレワークブームなので、それに比例して犯罪者が増加し、犯罪件数も増す。大企業狙いから中小中堅企業狙いになり、「うちの様な零細企業はターゲットにされませんよ」と高をくくることもできない世の中になっているのです。社長や経営層は、その危険性を社内に徹底し、きちんと対応する責務があります。「当社の社員は上手にテレワークしてくれているなぁ。。。えっ?どうやっているかは知らんけど・・・」という社長がいらっしゃったとしたら、直ちに対応を検討されるべきです。
 なお、自宅から便利で安全にテレワークを実現できるツールも登場してきています。例えば株式会社ハイパーでは「SPG-Remote」という安全にリモートアクセスできるソリューションを提供しています。当然コストはかかりますが、安全はタダでは手に入りません。安全性、社員の利便性や労働生産性と天秤にかければ、そのコストは比較的簡単にペイできることも多いものです。
 社長の責任として、テレワーク化できる仕事を洗い出し、それを安全に実現できるツールを選ぶ。これがテレワーク時代に社長に求められる必須行動なのです。

鈴木 純二
ベルケンシステムズ株式会社
代表取締役/成長直轄型IT導入コンサルタント


 顧客接点改革でカスタマーサクセスを推進する手法により、成長に直結するIT 化方針立案のコンサルティングを提供している。
 大手OA 機器メーカーで生産現場を経験後、情報システム・通販直販サイト・情報化経営戦略責任者を歴任。インターネット黎明期に、WEB サイトでの売上げの飛躍的な拡大に成功。同時に、基幹側プロセスを次々にIT 化し、全プロセスでお客様の利便性・作業効率・対応迅速性を改革。
 独立後、主に製造業、卸売業、各種サービス業のIT 導入を支援する事業を展開中。中小企業を中心に100 社を超える支援実績があり、特に生産管理、販売管理システムや全社業務体系の整備で成果を上げている。
・2019年業務可視化支援ソフトウェアツール「簡単プロセスビルダー」を開発。組織の規模を問わず「現場の担当者が手軽に業務プロセスを可視化でき、IT化やRPA導入の現実的な計画を立案できる」との評価を得る。
・米国プロジェクトマネジメント協会認定PMP®
(プロジェクト・マネジメント・プロフェッショナル)

セキュリティアご紹介するWebセキュリティ

カテゴリー

最新記事