2020.09.17

初級

スマホ、パソコンの管理は大丈夫?中小企業がテレワーク導入前にやるべきこと

新型コロナウィルス感染症の対応のため、テレワークの環境が整う前に在宅勤務を導入することになった企業も多いのではないでしょうか。東京商工会議所の「テレワークの実施状況に関する緊急アンケート」調査によると、2020年3月に比べ緊急事態宣言が発令した直後の結果では、いずれの従業員規模でも実施率が40ポイント以上増加。これまでテレワークを全く考えていなかった企業が可能な事務系社員などを対象にテレワークを急遽導入するといった回答もみられた。中小企業のICT活用はさまざまな課題があり、テレワークへの対応も遅れている現状がある。しかし、情報漏洩リスクの観点から、中小企業でもスマートフォン、パソコン管理を見直すときに来ている。

テレワーク導入は入念な準備が必要。経営陣のコミットメントが推進のかぎ

働き方改革が叫ばれる中で、テレワークを積極的に取り組んでいた企業は、労務管理、人事評価、情報セキュリティ対策を数年前から準備をしており、準備をしていなかった企業とは差が出ている。総務省は、システム担当者および総務・人事部内担当者の方向けに、テレワークの基礎知識や導入プロセス、ルールづくりなどの実務的な知識・方法をわかりやすく解説した手順書「情報システム担当者のためのテレワーク導入手順書」を公開し導入を推進している。テレワーク導入プロセスとして、次の8つのプロセスを紹介している。

  1. 導入目的の明確化
  2. 対象範囲の決定
  3. 現状把握
  4. 導入計画の策定
  5. 実施環境の整備
  6. 研修等説明化の開催
  7. テレワークの施行・実施の開始
  8. テレワーク推進のための評価と改善

総務省は導入手順だけでなく、相談窓口を設置して企業のテレワーク導入を支援している。しかし、準備には8つのプロセスが必要になり、企業は短期間で導入するのは難しさがある。特に、推進には経営陣の強いコミットメント、社内各層の理解が必要である点が難しいといえる。デジタルトランスフォーメーションに取り組む企業のように、経営陣のトップダウンでICT活用や自社のさまざまなデータの活用推進をしている企業はテレワークの導入は比較的容易であるといえるが、今後テレワークを導入検討する企業においては、経営陣による導入目的の決定や即効性がないICT活用への投資判断を新型コロナウィルス感染症の対応の中で判断する必要があり難しい状況といえる。実際に、企業は緊急事態宣言後に在宅勤務を中止するケースもあり、準備の負荷も含めテレワークの普及には課題がある。

ノートパソコン、個人所有スマホも紛失に企業の備えが必要となる理由

東京商工会議所の「テレワークの実施状況に関する緊急アンケート」では、東京商工会議所会員企業12,555社を対象に実施し、回答数1,111社のうち、緊急事態宣言後にテレワークの実施率は急激に増えていた。調査期間2020年5月29日から6月5日の実施率は67.3%。さらに、活用しているハードウェアは97%がパソコン、55%はスマートフォンという結果であった。スマートフォンやノートパソコンを会社から支給されている場合や、個人所有を併用して仕事をしている割合の合計は90%以上となり、企業は緊急でパソコンを手配したところも多いと考えられる。個人所有も併用となると、業務利用するハードウェアのオペレーティングシステム(OS)はWindows、macOC、iOS、Androidなどといった複数のOSになり、企業はさまざまOS(クロスプラットフォーム)への対応が必要になる。日常業務の対応は当然のことながら、突発に起こる端末紛失の対応などである。端末紛失による情報漏えいは大きな損害につながるリスクといえる。

拾得物品点数過去10年間の推移

グラフ:出典)警視庁 遺失物取扱状況

警視庁が発表している、遺失物取扱状況から端末を紛失している実態がわかる。昨年(令和元年中)の状況は、携帯電話 拾得届点数153,015件、遺失届点数 247,771件。電気製品類 拾得届点数191,843件、遺失届点数41,423件。電子製品類はパソコン以外も含んでおり、電子機器、ノートパソコン、電卓、電子辞書、電子手帳、パソコンソフト、マウスパッドであるが、無視できない件数である。携帯電話はここ数年、15万件程度で横ばいに推移しているが、電子製品類は増加する傾向にある。電子製品類の約20万件すべてが、業務利用ではないが、NPO日本ネットワークセキュリティ協会(JNSA)が発表している調査報告書でも紛失・置き忘れが高い割合となっており注意が必要だ。詳細は次の通り。2018年の個人情報漏えい人数は561万3797人、想定損害賠償総額2,684億5,743万円と報告されている。漏えいの原因は、「紛失・置き忘れ」26.2%、「誤操作」24.6%、「不正アクセス」20.3%、「管理ミス」12.2%と続く。漏えい経路はインターネットや電子メールが48%であった。企業がテレワークを導入していなくても、仕事のメールチェックを個人所有のスマートフォンで行っているのであれば、情報漏えいの観点から端末紛失を想定した対応が求められる。スマートフォンであれば、契約しているキャリアの遠隔ロックを契約することで紛失に対応できる。しかし、ノートパソコンは、遠隔ロックサービスを契約しなければならない。さまざまなOSに対応できるサービスとしてMDM(Mobile Device Management:モバイルデバイス管理)サービスがあり、用途にあわせ選べるようになっている。

ソフトウェア更新はセキュリティ対策に有効。端末をすべて管理しなければ企業リスクとなる

不審メールをうっかり開いてしまい、ウイルス感染し顧客情報を流出させる事故も起きている。JNSAの調査結果でも漏えい経路はインターネットや電子メールが48%であった。企業はサイバーセキュリティに関する知識を社員に教育することや実際の対応を求められている。内閣サイバーセキュリティセンター(NISC)は、「インターネットの安全・安心ハンドブック」を作成し啓蒙活動を行っており、次の4つのポイントをあげている。

  1. システムを最新に保つ。セキュリティソフトを入れて防ぐ
  2. 複雑なパスワードを多要素認証で侵入されにくくする
  3. 攻撃されにくくするには侵入に手間(コスト)がかかるようにする
  4. 心の隙を作らないようにする(対ソーシャルエンジニアリング)

サイバー攻撃を防ぐための第一歩として、パソコンやスマートフォンのソフトウェアを更新しシステムを最新の状態に保つこと。パソコンのOSは、定期的にセキュリティの向上する更新プログラムを配信しているため、ユーザはアップデートすることでシステムを最新に保つことができる。
企業は、社員に支給しているパソコンやスマートフォンのシステムが最新の状態になっているかを定期的に確認する必要がある。管理する数が増えた場合に、人が定期的に確認するのは限界になるため、遠隔でソフトウェア更新や、遠隔で端末情報を消去が一括管理できるMDMサービスを導入するのが現実的であるといえる。パソコンを購入したときや、パソコンの使用者が変わる場合に必要なソフトウェアを設定することは、1台あたりに数時間から半日必要だと言われており、50台であれば専任者を置いて約1ヶ月対応することになる。MDMサービスでは、自動的にソフトウェアを設定するサービスがあるため、実質的に設定時間はゼロになる。
テレワークの導入を急ぐことでサイバーセキュリティ対策がおろそかになった結果、取引先や顧客に損害を与えてしまう。この最悪のケースを防ぐために、業務利用しているスマートフォンやパソコンの端末管理を見直すときが来ている。