現在、多くの日本の企業や組織は在宅勤務をするよう指示しています。このため、当社にもさまざまな質問や要求が寄せられています。これらの企業との対話において当社は、一部の企業ではサイバーセキュリティの観点からこのような状況に準備を整えていたものの、その他の多くの企業ではこの突然の事態に困惑していることを知りました。全従業員をリモートワークさせるためのセキュリティ対策が十分に整っていない企業が少なくないようです。

多くの従業員がリモートワークを行うようになることで、サイバー攻撃、特にフィッシングやその他のソーシャルエンジニアリング攻撃の被害が増大しています。従業員にリモートワークを行わせることは、自宅のWi-Fiのような安全でない接続を介してネットワークにサインオンすることを意味するため、サイバー攻撃に対する防御が困難となります。従業員が複数の場所に分散している場合には、従業員が単一の場所（特定のオフィスなど）で仕事をする場合よりも、ネットワークを保護することがはるかに困難になることに気付いています。

大多数の日本の企業や組織にとって、多くの従業員をリモートワークさせることは、かつてなかったことです。コロナウイルスの大流行以前に多数の従業員に在宅勤務を行わせることに対応していた企業は20%未満であり、通常は一握りの従業員に在宅勤務を行わせていただけであり、しかも必要がある場合にのみ在宅勤務を許可していたにすぎません。

サイバーセキュリティの観点からすると、在宅勤務で利用されるエンドポイントの保護には多くの課題があります。1つは、多くの企業や組織がリモートワーク実施にあたって、IT部門に重圧がかかっていることが挙げられます。多くの従業員が通常の境界線の外で仕事をするようになることで、デバイスの無秩序な拡散を管理することや、アップデート、パッチ適用、セキュリティ対策を行うことが、IT部門にとってより大きな課題となっています。

2つ目は、大多数の従業員がリモートワークによりもたらされる新たなリスクに気付いていないことが挙げられます。ほとんどの従業員がオフィスで働いていたときと同じように自宅で仕事をすることを期待していますが、彼らは、VPN経由で企業のネットワークにアクセスしないことのリスクや、厳格な認証を実践する必要性には気付いていません。IT部門は、在宅勤務をする際に気を付けなければならない注意事項を従業員に理解させるために、明確なリモートワークのガイドラインを早急に作成する必要があったのです。しかし、このようなガイドラインの作成、従業員のトレーニング、および従業員によるガイドライン遵守を確実にすることは、時間のかかる作業であり、従業員が遠隔地にいる場合には実装が容易ではありません。

3つ目は、必ずしもサイバーセキュリティに直接関係するものではなく、より実務的なレベルのものです。従業員がリモートワークを行うための適切なツールを確保できるようにすることです。たとえば、次のような具体的な事項について事前に決定しておく必要があります。従業員はラップトップを持っているかどうか。そして同デバイスにはビデオ会議を行うためのWebカメラが搭載されているか、それとも会社がWebカメラを用意すべきか。未就学児童（大きな声で騒ぎ立てる可能性のある）を抱えている従業員が自宅で仕事をする場合、会社はビデオ会議用のマイク内蔵付きのノイズキャンセリングヘッドフォンを提供すべきか。従業員は必要なソフトウェア（Zoomのようなビデオ会議ソフトなど）を所有しており、その使い方を知っているかどうか。

最後は、ビジネス継続性を保証するためのリモートワークガイドラインの作成が急務となっていることです。たとえば、次のような事項に関するガイドラインを作成することが考えられます。部門間におけるスムーズな情報の流れを確保する方法。チームミーティングの開催方法。同僚との日常的なコミュニケーションや上司への報告には、どんなツールやソフトウェアを使用すべきか。管理職がいかにして部下の高い意欲、効率性、生産性を維持し続けることができるか。このような「リモートワークガイドライン」を作成すること自体が、多くの企業や組織が初めて直面する大きな課題となります。

最近のリモートワークの経験は企業にとっても従業員にとってもストレスとなっているかもしれませんが、企業や組織は、事業を正常に維持するための方法を模索せざるを得ません。当社と関わりのある多くの企業の中でも、アプローチにおいて次のような明確な違いがあることに気付きました。1つは「現状に対応するためにやるべき必要のあることをすべてやっていこう」というアプローチであり、もう1つは「現状を超えて組織の生産性にプラスとなるような制度やガイドラインを整えよう」というアプローチです。

後者のアプローチを採用している企業や組織は、必ずしも全従業員に永久にリモートワークを行わせようと考えているわけではありません。そうではなく、そのような企業や組織は、多数の従業員によるリモートワークを可能にするシステムを導入することについての長期的な学習を通じて、競争力を高めることができると判断しているのです。そのような企業や組織は、結果として、次の2つのポジティブな効果が得られると考えています。1つは、ワークスタイルの柔軟性が高まること（従業員は、生産性を低下させずに、必要に応じてオフィスでもリモート環境でも仕事ができるようになる）であり、もう1つは、コミュニケーションに関してよりスムーズで一貫した流れを確保できることです（管理職と部下は、オフィスで隣にいようが、リモートワークを行っていようが、常にコミュニケーションをとる方法をマスターできるようになる）。

長期的には、リモートワークがもたらす課題を受け入れ、このような状況において、いかにして事業を維持していくかを学んだ企業がこれまで以上に競争力を獲得できるようになるでしょう。

＜緊急時対応チェックリスト＞セキュアなテレワークでビジネスを継続

新型コロナウイルスの感染拡大防止への対策として、多くの企業がテレワークを実施していますが、テレワーク実施時のIT環境の整備やルールの策定、ITセキュリティ・サイバーセキュリティの強化など、IT/セキュリティ担当者が取り組むべき課題が山積しています。

本資料は、急なテレワークの実施に対応するため、セキュリティチームとITチームが取り組むべき項目をチェックリストとしてまとめました。

テレワーク実施時の参考にぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/4514/