テレワークの普及率

新型コロナウィルスの感染拡大に伴い、国内の企業等の間でもテレワークの導入が急速に進みました。新型コロナ感染症は終息に向かいつつあるようですが、テレワークは今後も業務の効率化や働き方改革などのための有力な手段として、今後も利用が続くと思われます。

内閣府による2022(令和4)年7月の調査(※)によると、同年6月時点の全国のテレワーク実施率は30.6%でした。この調査では「ほぼ100%テレワーク」の人から「不定期にテレワーク利用」の人を対象に含んでいますので、テレワークの普及率を示していると言ってもよいでしょう。 アフターコロナ時代における自社の業務のあり方をどう考えるか、ということにも関わってきますが、企業にとって生産性向上や働き方改革による従業員満足度向上といったメリットがあることを考えれば、テレワークという仕事のスタイルは今後も継続するでしょう。

第5回新型コロナウィルス感染症の影響下における生活意識・行動の変化に関する調査

業界別のテレワーク実施率

テレワークの実施状況を業界別に見てみましょう。 先述の内閣府の調査によれば、最も高い実施率を誇るのが情報通信業(75.9%)です。やはりIT業界は基本的にパソコンを使用した業務ですので、テレワーク向きの業界なのですね。 それに続くのが電気・ガス・水道業(46.4%)、製造業(40.7%)、金融・保険・不動産業(39.1%)といった業界です。主にホワイトカラーの職種の方が対象になっています。

一方で、テレワーク実施率の低いのが、農林漁業(13.2%)、医療・福祉(12.4%)、保育関係(9.5%)です。医療関係や保育関係の業界は患者さんやお子さん達と現場で接する業務が多いことや、カルテなどの情報の遠隔利用が難しいといったことも関係しているようです。

それでも、医療業界においてはオンライン診療や画像解析を行う業務をテレワーク化したり、介護や保育業界では企画業務や管理業務などのバックオフィス業務をテレワーク化したりと、各業界でテレワーク化の取り組みを行っています。

シャドーITとは

それでは次に、シャドーITについて解説します。 シャドーITとは、企業が従業員に業務上の使用許可をしていない、あるいは業務上使用されていることを管理できていないデバイスやサービス等のことを言います。例えば、従業員が会社の許可なしに、業務目的で私用のパソコンやスマートホン、または外部のクラウドサービスを使用する場合のそれらの機器やサービスのことを指します。またSNSサービスなどを利用して従業員同士で業務上の連絡等を行う場合もこれに該当します。

このような使用方法は、セキュリティリスクが高まるので放置することはできません。たとえテレワークであっても、業務で使用する機器やサービスは企業で定めた一定のセキュリティ規程の下で、かつシステム管理者の管理下で適正に運用されることが必要です。そうしなければそれが企業全体の情報セキュリティ管理に甚大な影響を及ぼす可能性(テレワークセキュリティリスク)を内包することになるためです。

シャドーITが生まれる背景

シャドーITが生まれる背景として考えられるのは、以下の2点です。

①企業で業務上認められた機器やサービスと、実際に従業員個人が世間で利用可能な機器やサービスとの間に差があり、従業員が会社から認められている内容に満足していないこと

②テレワークの導入・推進によって、従業員の執務環境が企業以外になる機会が増えることに伴い、企業で業務上認められていない機器やサービスを利用してはいけないという意識のハードルが低くなりがちであること。

特にテレワーク環境では、遠隔地間の情報共有や情報連携が業務の円滑な遂行上のポイントとなりますので、外部のクラウド環境を利用したデータ共有やデータ転送などは②のような考え方に陥りやすく、「ちょっと便利だから」等の理由でついうっかり利用してしまうような場合が起こりやすいものと考えられます。

参考:シャドーIT - 対策方法6選と5つのリスクについて解説 - TUNAG

シャドーITのリスク

次にシャードITによってもたらされるリスクの具体的な内容について見てみましょう。

サイバー攻撃

従業員が私物のパソコンやスマートホン、あるいは外部のクラウドサービスを使用してアプリやデータをダウンロードした場合、それらのアプリやデータは企業のセキュリティチェックを経由せずに行われることになります。アプリやデータがワームやトロイの木馬などのマルウェアに感染していると、私物のパソコンやスマートホンを使用して企業のシステムにアクセスすることにより、ワームやマルウェアを企業のシステムに感染させてしまい、システムダウンやランサムウェアによる被害を受けるなどの障害を招きます。

情報漏洩

従業員が企業から許可されていない外部のストレージサービスを使用して業務に関するデータを保管したり、テレワーク時の従業員間の情報共有に使用したりしている場合、そのサービスに不正アクセスが行われてデータを盗まれると情報漏洩につながります。 私物のパソコンやスマートホンを使用して外部のサービスを利用した際にワームやマルウェア感染し、その後に私物のパソコンやスマートホンを会社のシステムに接続した途端に会社のシステムにも感染拡大し、そこから情報漏洩が発生することも考えられます。

トレンドマイクロ社が2020年に発表した調査報告「Head in the Clouds」によると、世界27か国、1万3,200人のテレワーカーを対象に聞き取り調査を行った結果、81%の人が、自身を組織内のサイバーセキュリティにおける責任対象の一部として認めている一方で、39%が「頻繁に」または「常に」個人用デバイスから企業データにアクセスしている実態が判明しました。 このようにテレワークは、従業員のセキュリティ意識に関するハードルを下げてしまう傾向があり、それが企業の情報漏洩につながるというリスクを内包しているということができます。

不正アクセス

テレワーク時の私物のパソコンやスマートホンの使用は不正アクセスの温床にもなります。私物のパソコンやスマートホンがマルウェア感染した状態で企業のシステムに接続することで、アクセス用のIDやパスワードが盗まれてその後のなりすましに利用されたり、企業の業務データの詐取が行われるというリスクが考えられます。 企業から許可されていないアプリを業務上で使用することによって、マルウェア感染による不正アクセスをもたらすケースも考えられます。

テレワークのシャドーITを防ぐには

テレワークの急激な普及もあって、企業のシャドーITに対する対策を打つのもこれからだという会社も多いのではないでしょうか。ここでは、シャドーITを防止するための5つの手順について解説します。

1.現在のシャドーITの状況を分析する

まず現状分析として、シャドーITがどの程度行われているかの状況を把握するのが重要です。企業システム内のデータのアクセス状況を監視するサービスを導入することにより、シャドーITが実際にどの程度行われているかの点について実態調査を行います。
その上で、実際にシャドーITを行った従業員に対してその理由を確認します。使用理由には業務の効率化を求めるあまり使用しているものもあると思いますので、そういった実態から現在の企業のシステムや運用規則に改善すべき点がないか分析を行います。

2.業務上必要なツールを企業側に導入する

システムのユーザーである従業員との対話により、現状のシステムやその運用規則について従業員が不満を持つ点や改善に向けた要望を確認します。
外部のクラウドサービスで従業員の利用ニーズが高いものがあればその安全性を検証して導入可否を検討したり、安全性に問題があれば他の代替可能なサービスを検討したりします。またスマートホンの業務上の使用ニーズが高ければ企業側からの貸与を検討するなどといったことを行います。

3.テレワークに関するセキュリティルールを定める

企業システムの改善等により従業員にとってのテレワークの使い勝手を改善した上で、テレワークに関するセキュリティルールを定め、シャドーITをルール上禁止します。あらためてテレワークで行えること、行ってはいけないことを明確にすることでルールの点から従業員の意識向上を図ります。
行ってはいけないことを行った場合の罰則規定も必要により検討します。

4.企業のデータへのアクセスの監視を行う

上記のようなシステム面、運用面、ルール面の改善を行った上で、あらためて企業データのアクセス状況を監視し、シャドーITの利用状況を確認します。
シャドーITの防止対策の達成状況を確認するとともに、未だに利用が認められる場合はその理由を確認して、さらなる改善点がないか検討します。
明らかにルールを外れた使用があった場合は罰則規定を適用するのも必要です。

5.セキュリティ教育により従業員の意識を向上させる

セキュリティ教育により従業員のシャドーITのリスクに対する理解を高めるとともに、テレワークに関するルールを周知することによって、従業員の意識向上を図ります。
従業員がテレワークでシャドーITを行うのは、業務上の効率性を優先してテレワークセキュリティルールを軽視してしまうことに起因する場合が多いと考えられますので、あらためてルールを守ることの重要性を従業員に徹底させることが大切です。

まとめ

テレワークに潜むシャドーITのリスクについて解説してきました。最後に、重要なポイントを述べたいと思います。

テレワークの実態に対応したセキュリティ対策が必要

企業の従業員の働き方におけるテレワークの浸透により、今後はさらに多様な端末やサービスから企業のデータへのアクセスが増加してくることが考えられます。それに伴い、企業の重要なデータを脅威から守るためのセキュリティ管理は以前にも増して高度なものにならざるをえないと思われます。
今後は企業を挙げて企業のテレワークにおけるセキュリティ管理のあり方を考え、対策を実行していく必要があると考えます。

関連記事:CASBとは?SASE・SWGとの違い、サービス選定のポイント6選 | 漏洩チェッカー