1.はじめに
新型コロナウイルス感染拡大の影響を受け、日本国内ではテレワークの導入が一気に加速しました。同時にテレワークの脆弱性を狙ったサイバー攻撃が増え、2021年8月、情報処理推進機構(以降、IPAと記載)が公表した「情報セキュリティ10大脅威 2021」(※1)では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初めてランクインしています。
働き方の変化が今後も予測される中、ニューノーマルな働き方を狙った攻撃を防ぐためには、単純にセキュリティ製品を導入すればよいのではなく、組織のセキュリティルールを適切に整備し、組織全体で形骸化することなく運用することが求められます。環境の変化に伴い組織が守るべき情報に対する脅威や実施すべきセキュリティ対策が変わるため、それらをルールに反映していく体制やプロセスが必要です。
IPAが2021年4月に公表した「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 調査報告書」(※2)から見えたテレワーク環境の整備における課題を例に、ニューノーマルな時代ではどのよう点に注意してルールを整備していくことが求められるのか、本稿でポイントを解説します。
https://www.ipa.go.jp/security/fy2020/reports/scrm/index-final.html
2.セキュリティルールの策定と運用
組織で策定される一般的なセキュリティルールは、「ポリシー(基本方針)」、「スタンダート(対策基準)」、「プロシージャ(実施手順)」の3つの文書で構成されます。各文書に示すべき内容は、以下の通りです。
図1:セキュリティルールの構成
ルールは一回策定して終わりではなく、PDCAサイクルを回して定期的な見直しを行うことが必要です。
図2:セキュリティルールにおけるPDCAサイクル
3.セキュリティルールの課題と解決策
冒頭で紹介した「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 調査報告書」では、セキュリティに関する社内規程・規則・手順等で組織が感じている課題が示されています。約25%以上の組織が感じている課題を3つに分類し、注意すべきポイントを解説します。
- 課題1 ルールが曖昧な記載/社員の理解不足
- 課題2 働き方の変化に対応していない
- 課題3 現場の負荷が高い
図3:セキュリティ対策の社内規程・規則・手順等の課題(IPA「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 調査報告書」の付録資料 アンケート調査単純集計結果II.組織調査より引用)
課題1 ルールが曖昧な記載/社員の理解不足
図4:課題1の具体例と想定される被害
セキュリティルールが曖昧な表現で記載されている、もしくは、従業員がルールを正しく理解できていない状況の場合、本来必要なセキュリティ対策が実施されません。
公開されているガイドライン等を参考に具体的なルールの記載を行うことや、ルールの改定時には勉強会を開催する等により組織全体に共有することが必要です。具体的な手順を記載したプロシージャを作成することにより、社員の理解度向上を図ることも有効です。テレワークのルール整備では、総務省が2021年5月に公表した「テレワークセキュリティガイドライン(第5版)」、「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)」(※3)が参考になります。組織が実施すべき対策だけでなく具体的なセキュリティインシデントの事例も紹介されており、勉強会でも活用できるでしょう。
また、組織のルールを改訂した際には、外部委託先に対しても適宜共有する必要があります。近年、セキュリティ対策が不十分な外部委託先から情報漏えいしてしまう事例も増加しており、業務委託を行っている組織は特に注意してください。
課題2 働き方の変化に対応していない
図5:課題2の具体例と想定される被害
セキュリティルールが働き方の変化に対応していない場合、セキュリティ対策の状況が各従業員に依存してしまいます。
ルールを働き方の変化に対応させるには、ルールを整備する組織と実際に業務を行う組織が連携を取り、適切にルールを更新できる体制、プロセスの整備が必要です。例として、テレワークの導入では自宅等からクラウドサービスの利用を始めた組織が見られました。ルールを整備する組織がそういった現場のニーズや状況を把握し、例えばクラウドサービスへのログインは二要素認証(※4)の設定を要求する等、ルールの整備が求められます。
また、新型コロナウイルス感染拡大に伴いテレワークの導入が加速したように、ルールの改訂が間に合わず、一時的に例外を認めなければいけないケースも想定されます。そのような事態に備え、ルールの逸脱および例外を取り扱うプロセスも事前に整備しておくことが望ましいです。
課題3 現場の負荷が高い
図6:課題3の具体例と想定される被害
利便性が損なわれた状態が継続した場合、そのルールを逸脱する行為が発生する可能性が高くなり、結果的にルールが形骸化してしまいます。
ルールを整備する際には、業務に支障が生じないかどうかルールを整備する組織と業務を行う現場で意識合わせすることが重要です。守るべき情報の価値や想定される脅威、発生頻度などを踏まえ、実施する対策レベルを決定する必要があります。
現場の負荷を軽減するため、ソリューションを導入することも有効なケースが多いです。ただし、そのソリューション自体が脆弱性にならないよう、セキュリティパッチの適用漏れや設定不備等に注意が必要です。
認証に用いられる要素「記憶」、「所持」、「生体情報」のうち、2つの要素を組み合わせて認証すること。例として、パスワード(記憶)とワンタイムパスワード(所持)の組み合わせた認証などが存在する。
4.まとめ
本稿では、IPAの調査結果をもとにセキュリティルールの整備で注意すべきポイントを解説しました。テレワークに限らず、今後も働き方の変化が予想されます。ニューノーマル時代では、セキュリティルールを整備する組織と業務を行う現場が密に連携を取り、PDCAを回しながらルールを改訂していく体制やプロセスの整備が特に重要になると考えます。これらの課題に対して組織内で解決することが難しい場合はアウトソースすることも有効です。当社ではセキュリティポリシーの整備に関するセキュリティコンサルティングなどの支援も対応しておりますので、もしご相談事項等あればご連絡ください。