テレワーク環境下で想定されうる情報漏洩リスク
株式会社ダイレクトクラウド
営業本部 カスタマーサクセスチーム
村井 勇太氏
総務省「令和2年通信利用動向調査」によると、企業は「働き方改革」の一環としてテレワーク導入に踏み切っており、その理由の多くは「定型的業務の効率性(生産性)の向上」と「勤務者の移動時間の短縮」である。しかし、オフィス勤務時と比較して生産性が減少したとの声も多い。その原因の多くは、「テレワーク体制の未整備」にある。中でも、セキュリティに関しては、未整備に起因するトラブルも多い。
「これまでは社内で勤務することで一定のセキュリティを担保することができていましたが、テレワーク環境下では一筋縄ではいきません。外部からの脅威はもちろんのこと、端末の紛失や内部不正など、内部からの脅威へも対策を講じていく必要があるからです」と話すのは、株式会社ダイレクトクラウド営業本部カスタマーサクセスチームの村井勇太氏だ。
図1は、セキュリティリスクを「外部からの脅威」と「内部からの脅威」で分類したものだ。これらの脅威によって、情報漏洩事故に発展した事例も数多く存在する。
図1:さまざまな情報漏洩リスク
総務省『テレワークセキュリティガイドライン第4版』を元に弊社作成
外部の脅威では、Emotet(エモテット)感染が猛威をふるっている。Emotetは情報を不正に窃取するマルウェアのことで、不正に入手した氏名・メールアドレス・メール内容を用い、あたかも取引先から返信してきたかのように装うことで、連鎖的な標的型攻撃に悪用されてしまう。また、内部の脅威では、オフィス勤務環境下では見逃していた脆弱性が機密情報の漏洩につながる。最悪の場合には、企業の信用が失墜しまうおそれもあるため、一貫した対策を講じておきたい。
テレワーク環境下で情報漏えいリスクが増大する背景
オフィス勤務と比べてテレワーク移行により情報漏えいのリスクが増大する背景には何があるのだろうか。村井氏は下記3点を指摘している。
- 持ち出せるファイル数の増加
テレワークが長らく続くとパソコンにさまざまなファイルをダウンロードして作業を行い、作業終了後もパソコンに保管していることが想定される。よってこれまで以上に企業の重要文書が漏洩する可能性が高まる。 - ファイルの持ち出しの期間延長
二度目の緊急事態宣言によって、再びテレワークを実施し始めた企業も多く、長期間にわたりファイルを持ち出し続けているため、自然とリスクに晒される可能性が高まる。 - 盗難や紛失のリスク増大
テレワークが普及すると社外での機密情報のやり取りは日常茶飯事として行われる。機密データをローカル保存したままPCやモバイル端末、紙媒体の資料を持ち歩くため、盗難や紛失のリスクが増える。
テレワーク環境下でセキュリティと利便性と高めるためには
これらの課題を解決するのが、ダイレクトクラウドの法人向けクラウドストレージ「DirectCloud-BOX」だ。テレワーク環境下でもセキュアかつスムーズなファイル利活用を実現するDirectCloud-BOXは、前述した「テレワーク環境下で想定されうるリスク」にも図2のように対応している。
図2:テレワーク環境下の課題とDirectCloud-BOXでの対策
「セキュリティの面では、IDとパスワードに頼らない高度な認証技術を採用しています。総当たり攻撃や辞書攻撃などからのリスクは同製品の『二段階認証』によって防ぐことができます。内部不正に対しては、IPアドレス制限やデバイス認証、操作ログを組み合わせることで情報漏洩を未然に防ぐことができます。」(村井氏)
先月大幅なアップデートが行われ、利用シーンに応じてセキュリティの個別設定ができるようになった(図3)。例えば社員が社外からアクセスする場合は二要素認証(OTP)を適用してアクセスさせ、派遣社員はオフィス内のパソコンからのみアクセスとさせるといった運用ができるようになった。
図3:認証の個別設定
さらに、ファイルにアクセスする際の権限「編集者-(マイナス)」が追加されている。これは、プレビューや編集などの基本的な操作はできるものの、「ダウンロード」ができないアクセスレベルだ。DirectCloudドライブを実行すれば、エクスプローラー上でもファイルをダウンロードすることなくOffice文書を編集することができる。
また、DirectCloud-BOXはテレワーク環境下における「成果物を加筆しながらレビューできない」という課題に対しても「同時編集機能」で応えることができる。これはクラウド上でMicrosoft Office形式の文書を複数人で同時に編集できる機能だ。これにより、リアルタイムでファイルを編集することができ、業務の生産性を向上させることができる。
図4:データレス編集
DirectCloud-BOXの活用事例
DirectCloud-BOXには数多くの事例があるが、セキュリティ・利便性におけるテレワーク特有の課題を解決した事例を2つ紹介しよう。
1つは、医薬品製造業界のあすか製薬だ。緊急事態宣言を機に全社員の5割ほどがリモートワークに移行したが、DirectCloud-BOXはユーザー数無制限であり、導入時の段階で社員にアカウントの配布を行っていたため、アカウント追加を行う必要もなく、スムーズにリモートワークの環境を手配できた。
「アカウント単位での課金では、追加コストの確認や社内での承認やベンダーへの手配など、お金だけでなく時間的なコストも発生してしまいます。DirectCloud-BOXのユーザー数無制限のメリットが想像以上にあったのだと思います。実際にリモートワークが始まってからは利用頻度も上がり、UIがシンプルで分かりやすいこともあり、リモートワークを機に使い始めたユーザーからも使い方に対して問い合わせがくることもなかったそうです」(村井氏)
もう1つは、グループ企業のバックオフィス業務を主業務とするユニヴァ・コーポレーションの事例だ。以前はオンプレミス型のファイルサーバーを利用していたが、緊急事態宣言が発令される前にDirectCloud-BOXを導入し、リモートワークの対象となった全体の2割程の社員はトラブルが起きることなくスムーズにリモートワークに移行した。VPN接続が撤廃されたこともあり、外回りの営業員スタッフからのアクセスが簡便化され、海外にあるグループ会社とのファイル共有も実現している。
コロナ禍を契機として広まった在宅勤務の影響で、機密度の高いドキュメントを社内外で安全に共有・保管できるクラウドストレージサービスを求める企業が増えてきました。 DirectCloud-BOXは「IDとパスワードに頼らない堅牢なセキュリティのもとに、DirectCloudドライブやデータレス編集機能を活用することで、場所を問わずファイル操作ができる点をご評価いただいています。」(村井氏)
ファイルサーバーを超えた厳格かつ柔軟なセキュリティと利便性を両立したDirectCloud-BOXは、ニューノーマル時代に対応した働き方をサポートする次世代ファイルサーバーとしてテレワーク環境構築ツールの選択肢の一つと言えそうだ。
