リモートワークのセキュリティ改善に向けた3つのステップとは？

情報共有の必要性に対する理解はまだ不十分

　IBM Securityは今年で4回目となる「Cyber Resilient Organization」に関する調査結果を公開しました。調査はPonemon Instituteが実施し、対象は世界各国のさまざまな業種・さまざまな規模の組織の10万4922人のITおよびITセキュリティ従事者で、その国や地域は米国、インド、ドイツ、日本、ブラジル、英国、オーストラリア、カナダ、中東（UAEおよびサウジアラビア）、東南アジア（ASEAN）となっています。有効回答者数は全体の3.5％にあたる3655人で、各国の有効回答率も3％から4％の範囲に収まっています。回答者のポジションは一般従業員からCレベルの経営幹部までと幅広く、最も多いのは一般従業員（技術者含む）の31％、次いでマネジャーの21％、スーパーバイザーとディレクターがそれぞれ16％となっています。また、約7割の組織は従業員数1001人以上です。

　今回の調査の主眼は「自動化（Automation）」がサイバーレジリエンスの実現または向上に有効であるとの結論を導くところにありますが、その一方で、前年までの調査と同様、今回も組織全体で一貫して適用されるサイバーセキュリティインシデント対応計画（CSIRP：CyberSecurity Incident Response Plan）を用意していない組織が大半を占めており、具体的には回答者の77％がCSIRPがないとしています。

　一方、CSIRPを用意している組織でも、その54％は定期的なテストを実施していないとしており、これもまた十分に準備できているとは言えない状態であることを示しています。

　また、CSIRPを用意していないことは他の問題にも繋がっており、例えば46％の組織がEUの一般データ保護規則（GDPR：General Data Protection Regulation）への完全対応が済んでいないとしています。

　ちなみに、IBMとPonemonによる昨年の調査によれば、サイバー攻撃に迅速かつ効率的に対応し、30日以内に封じ込めることができれば、データ侵害の総コストとして平均して100万ドル以上を節約できるとの結果が出ています。

　そのほかにもさまざまな調査結果がまとめられていますが、その中で特に目を引いたのは、他組織との情報共有に関するものです。まず、情報共有する理由（目的）を訊ねた結果は以下の図のようになっています。

　前年までと比べて「協力関係の促進」は大きく増えていますが、「CSIRPの改善」や「検知および防御のコスト削減」は減っています。後者の減っている理由として報告書は、自組織内で改善やコスト削減ができるようになったからではないかとしています。

　一方、今回の調査では44％が情報共有をしないと回答しており、その理由は以下の図のようになっています。

　どの項目も前年までと比べて大きく増えており、この変化には調査対象の違いなどが影響している可能性もありますが、それにしても73％が価値を見出せていないのは残念な結果です。このあたりの啓発はまだまだ必要なのでしょう。

　今回の調査の対象は業種も組織規模もさまざまで「全体平均」を見るには有効ですが、現実には業種や組織規模によって求められる、かつ実現可能なCSIRPなどは異なるので、今回の調査結果の細かい数字にこだわる必要はありません。あくまで「全体の傾向」を示す参考情報として利用すべきものでしょう。

リモートワークのリスクに対する意識と対策の実態

　在宅勤務などのいわゆる「リモートワーク」は、従業員のストレス軽減や作業効率の向上に繋がるなどのさまざまなメリットがあるとして、すでに多くの企業や組織で導入されていますが、その一方で、セキュリティ面で懸念を抱かれているケースも少なくありません。そのような中、OpenVPNはリモートワークのセキュリティに関する調査を実施しました。調査対象は250人のITリーダーで、マネジャーレベルからCレベルの経営幹部までが含まれています。

　まず、回答者の92％は「リモートワークのメリットはリスクに勝っている」と考えていますが、それでも90％は「リモートワークには一般的にセキュリティリスクがある」としており、さらに54％は「オフィスで働く従業員よりも遠隔の従業員の方がもたらすリスクは大きい」としています。なお、この54％との数字は回答者全体の値であり、回答者の中でVP（vice-president：副社長など）やCレベルの経営幹部といった役員クラスのITリーダーに限定すると、その値は73％となっており、ITマネジャーの48％やITディレクターの45％に比べて際立って高い値となっています。

　次に、リモートワークに関するセキュリティポリシーは企業や組織の93％で用意されており、そのポリシーには以下のような項目が含まれています。

　また、リモートワークを行なっている従業員に求められるサイバーセキュリティトレーニングの頻度は以下のようになっています。

　このようなポリシーや教育の一方で、遠隔の従業員が原因のセキュリティインシデントを経験している企業や組織は全体の36％に及んでおり、その68％は昨年に起きています。

　この点についてOpenVPNは、ポリシーの策定などの組織のセキュリティに対する主導権をIT部門が持っているかとの観点で調べています。その結果、遠隔の従業員が原因の侵害を経験していない組織では57％でIT部門が主導している一方、経験している組織でIT部門が主導しているのは49％にとどまっています。

　今回の調査結果を踏まえ、OpenVPNはリモートワークのセキュリティ改善に向けて次の3つのステップを紹介しています。

1）「set-it-and-forget-it（一度設定したら放っておけ）」のアプローチをやめる
　リモートワークに関するセキュリティポリシーを1年以上更新していない組織は24％に及んでいるが、セキュリティポリシーの見直しについてはCレベルの経営幹部による会議の議題に定期的に四半期に1回は入れるべき。

2）ポリシー遵守の徹底
　ルールが変更されたら、IT部門がライブで会合を開いて遠隔の従業員に解説すべき。遠隔の従業員に対するセキュリティトレーニングが省かれないように注意し、必要なコースを最低でも年に2回は受けさせる。

3）IT部門に主導させる
　44％の組織がリモートワークのセキュリティポリシーの策定においてITチームに主導的役割を担わせていないが、IT部門が主導すべきである。

　最後の「IT部門に主導させる」については、企業や組織によってIT部門の役割や組織全体のセキュリティ対応体制は異なるので、文字通りに受け取るのではなく、「IT部門が積極的に関わるべき」くらいの意味で捉えた方がよいでしょう。

　調査対象が250人に過ぎないので、細かい数字自体に統計的な信頼性はさほどありませんし、そもそもどのような業種業態の組織が調査対象になっているのかも明らかになっていないので、そのまま自組織に適用できる調査結果とは言えません。それでも、リモートワークのセキュリティを考える際の参考資料には使えるでしょうし、少なくとも最後の3ステップについては間違いなく検討する価値はあるでしょう。うまく利用してください。