インタビュー

私物PCを使った在宅勤務、導入には「全従業員のITリテラシー問題」が課題に――セキュリティ専門家の徳丸浩氏が語る

  • 小林 哲雄

2020年4月6日 12:07

EGセキュアソリューションズ株式会社代表取締役の徳丸浩氏

 新型コロナウイルス感染症の拡大防止策として在宅勤務やテレワークが注目されており、すでに在宅勤務を日常的に行っている企業も存在する。

 一方、業務を安全・確実に行うためには勤務場所を問わずセキュリティの要素は欠かせない。EGセキュアソリューションズ株式会社代表取締役の徳丸浩氏に安全な在宅勤務環境を作るポイントを伺った。

課題は全従業員のITリテラシー問題私物PCの利用で懸念されるセキュリティリスク

――新型コロナウイルス感染症の拡大防止策としてテレワーク/在宅勤務による働き方が注目されています。在宅で仕事をする上でBYOD(私物端末の業務利用)など、私物PCで仕事をすることはセキュリティ上どのような問題があるのでしょうか?

 在宅勤務を行う場合、社内の情報システムに接続して作業することが多いでしょう。この場合、安全なアクセス手段としてVPN(Virtual Private Network)を使うのが一般的です。しかし、VPNの設定を個々の全従業員に任せるためには全従業員のITリテラシーが高いことが前提になるので自宅の私物PCで業務を安全に行うのは難しいでしょう。

 コンピューターウイルスに感染した家族のPCから攻撃されるという懸念もあります。情報セキュリティの観点で言えばVPNやエンドポイントセキュリティなどの適切な設定が行われた端末を社員に配布し、これを利用して作業を行うのが安心でトラブル発生に伴うヘルプデスク対応を減らす意味でも有効です。

 一方、最近PCやVPN機材に関しては供給面で問題が出ているようで、弊社でも新入社員に配布するPCの調達で困りました。予算の問題もありますから多くのPCを一気に配布するのは現状難しいでしょう。

すぐに導入できて安全に接続できるクラウドサービス導入するためには在宅勤務前提の業務プロセスの確立が重要に

――予算と調達に課題があるということですね。解決策としては何があるでしょうか?

 ウェブブラウザーで利用できるクラウドサービスであれば、比較的迅速に導入でき通信の安全という観点でも良いでしょう。さらにログインに生体認証やハードウェアキーを用いた二要素認証を使用すればアカウント乗っ取りの可能性を大きく下げることが出来ます。あとは家庭のインターネット環境次第で、これは会社から(通信費など)定額補助を出してサポートをすれば良いでしょう。

 一方で多くの企業は注文書などのやり取りや承諾プロセスでまだ紙の書類を用います。弊社は電子取引も可能ですが、取引先によっては書面対応となります。書面の保管・管理を考えるとクラウドにしただけで在宅勤務が全面的に行えるとは言えません。

 また、社内システムがある状態で全面的なクラウド化を一気に行うのも難しいでしょう。経費精算や承認処理、勤怠管理など在宅勤務やテレワークを前提としていなかった業務プロセスを変えるためには、段階的に導入して浸透させるのが良いと思います。

「紙を使う作業」が在宅勤務のネックに……経営層の意思決定と部署間の調整/連携が重要

――在宅勤務やテレワークを前提としていなかった業務プロセスをどのように変えるのが望ましいのでしょうか?

 「紙を使う作業」が在宅勤務でのネックになりますので、これを電子化する必要があります。会社のかじ取りを行うのが経営者の役割なので、まずは経営者が(在宅勤務を可能にする)意思決定を行うということになるでしょう。一方、実際の業務を行うのは従業員であり、具体的な取り決めや調整は総務などで行い、IT関係の作業を情報システム担当者が行うという流れとなります。

 勤怠管理に関しては難しいところで、いきなり「就業規則を変えて、成果主義にする」と言われても従業員が戸惑うので、何らかの形で確認するのが現実的です。決済などの承諾に関しては「書類にハンコ」に代わるフローを作って運用でカバーすることになるでしょう。

ビジネスメール詐欺対策はチャットで業務データはきちんとした権限管理と万一に備えたログ保存を

――取引先や自社の経営者層などになりすましたメールを送り付けて送金を促すBEC(Business E-mail Compromise:ビジネスメール詐欺)も問題になりました。例えば、ウェブ会議の招集メールを装ったものや上司を装った偽の指示メールなどが確認されています。在宅勤務でこうした脅威に対処するためにはどうすれば良いでしょうか?

 メールはなりすましが可能なので、正しい指示かどうかが分かりにくいものです。少なくとも社内メッセージに関してはメールを使わず、チャットシステムのようなものを使うのが良いでしょう。個人間メッセージならば他の従業員が見ることは出来ず、問題が発生した際に後日やり取りを監査することも可能です。

 在宅勤務などでファイルをリモートにダウンロードして利用するケースもあります。この場合は不必要なアクセスができないように権限管理を行うことが重要です。さらに誰がいつアクセスしたかのアクセスログ管理を行うと、万一従業員のファイルの不正持ち出しが問題になるとしてもアクセスログがあれば調査可能です。記録を取っていることを社員に知らせてあれば持ち出しの抑止力にもなります。なお、アクセスログの保存は最低でも半年、可能ならば3年ぐらい保管されていると調査時に有用です。

――大変参考になりました。本日はありがとうございました。

 インタビューを終えて、在宅勤務を円滑に行うためには情報セキュリティの問題だけではなく、言われ出してすでにかなりの年月が経過したペーパーレス化および業務フローの見直しも重要だと感じた。

 1990年代後半のペーパーレスブームは、オフィス内に散乱するコピーやプリントを減らそうというところからスタートしている。とは言っても、当時は契約書や領収書、帳簿類の書面保管が法律で義務付けられていたので企業内の完全ペーパーレス化は無理と言われていた。

 チームとオンラインでのやり取りのみで仕事を進める在宅勤務を恒常的に行うためには、情報だけでなく業務フローもペーパーレス化が必要になる。これに関してはe-文書法や電子帳簿保存法によりビジネス文書全般の電子化が可能になった。さらにスキャナ保存の要件緩和も進んでいる(以前の紙領収書電子化は社内で第三者がスキャンする必要があったが、現在は「領収書受領者のスマホ撮影」も認められている)。つまり、経理作業のペーパーレス化が可能になるわけだ。

 2011年の東日本大震災を契機にBCP(事業継続計画)対策を考えた企業は多いと思うが、当時のBCP対策は在宅勤務前提の働き方を想定しておらず、対策を進化させ続けていなければ在宅勤務のみで働くのは難しいだろう。

 新型コロナウイルス問題を契機に新しい働き方を模索するきっかけになれば「災い転じて福となす」と言えるのではないだろうか?