登壇者プロフィール
富士通株式会社 BSCユニット 第三システム事業本部 FENCE事業部 シニアマネージャー
松山 啓介 氏
独立系ITベンダー、ベンチャー企業を得て富士通へ移籍。グループウェア導入、働き方改革、クラウド導入などの顧客支援を担当したのち、現状のセキュリティコンサルタントに従事。
株式会社エルテス リスクコンサルティング本部 アカウントセールスグループ
永易 靖規 氏
ドキュメントセキュリティベンダーで内部脅威対策に従事、その後エンドポイントサイバーセキュリティベンダーにて営業責任者として活動。現在は、Internal Risk Intelligenceのサービス開発を担当。
リモートワーク推進を阻むセキュリティの壁
株式会社エルテス 永易 靖規 氏(以下、永易): セキュリティの壁とは言いますけど、そもそもセキュリティって色々なソリューションがありますし、最近では「ゼロトラスト」という考え方もあるように、決まり切った壁というものはないんですね。ですので、壁があるとすれば、まず「新しいことに取り組む心理的な壁」だと思います。
あとは、リモートワークには物理的な距離という障壁もあります。これも壁と捉え、どのように対策を進めていくかを考えていく必要があります。
富士通株式会社 松山 啓介 氏(以下、松山): 私もやはり「距離」が一番重要かと思います。実際、リモートワークでは従業員が何をやっているのか見えないのが問題だと、お客様からよくお悩みの声が寄せられます。見えないところで従業員が仕事をしているので、それがセキュリティ事故につながるケースも結構あります。こういった、距離が離れてしまっているがゆえに発生するリスクにどう対処するかというのが企業の課題ですし、私たちベンダーがサポートすべきポイントです。
リモートワークを推進する際に、会社側がやるべきこと
永易:まず会社がやらなければならないのは、ルール作りです。保護すべき情報やアクセス権限をはっきり定めなければいけません。そして、ルールを作るには2つの観点が大事だと考えています。
まず1つは、働く人に対する配慮です。たとえば、リモートワークではこれまで使っていたインフラが使いにくくなることがあります。また、本来使うべきではないものが、意図せず使えてしまうというリスクもあるわけです。こうしたシステム的な問題を、働く人たちがいかに意識することなく回避できるか、ということが中心になってくると思います。
そしてもう1つは、対外的な観点です。取引先やステークホルダーに「うちはこういったセキュリティ対策をしているので安心ですよ」というのを示すのも、会社がやるべきことかと考えています。
松山: 今聞いて、なるほどなって思ったんですけど、意識せずとも、そして取引先から見ても安心できる環境は確かに重要だなと思います。
私が重要視したいポイントは、「見える化」です。つまり、社員のパソコンの使い方やメールの送り方、ファイルサーバ上のファイルにどうアクセスしているのか、そういったことをいつでも企業のトップが見える状態を保つことが重要だと思っています。社内のネットワークだけを意識するのであれば簡単な仕組みでできていたんですが、リモートワークだとそうはいきません。見えないところで仕事をするという環境下で、いかに社員がどんなパソコンの使い方をしているのか可視化することが重要と考えます。
その上で、さっき永易さんがおっしゃった「社員が意識しなくてもセキュリティで守られていること」を加えると、自分たちはもちろん取引先の方々も安心してビジネスを進められるんじゃないかと感じます。
個人が気を付けるべきポイント
永易: セキュリティインシデントのデータを見てみると、情報漏洩の原因の大半は人為的ミスなんですよね。具体的には、「印刷した書類の紛失や置き忘れ」と「メールの誤送信」がツートップです。
これらに対して個人ができることは「注意」です。ただ、注意力には限界があります。基本的には誰もが注意をしていて、それでも事件は起きているんです。そういうことを考えると、個人の注意力ではなく会社側のインフラ整備で対応すべきかなと思っています。
また、3番目に多い情報漏洩の原因は不正アクセスやサイバー攻撃です。これらへの対策としては、標的型攻撃対策のメール訓練などもありますが、リテラシーが下がらないよう個人が意識することも大切かと考えています。逆にいうと個人でできるのはリテラシーを上げることくらいです。しかし、それも簡単ではありません。まだまだITに慣れていない方もいらっしゃいますし、そこにリテラシーを求めてもピンとこないと思います。
ただ、情報漏洩の原因の大半が「印刷した書類の紛失や置き忘れ」であることを知っておくことも、またリテラシーの1つなんです。ですので、これは徐々に積み上げていくもの、会社が働きかけつつ、個人も意識して、少しずつリテラシーを高めていくものなのだろうと思っています。
松山: 個人がやるべきことって言うと「ああいうことをやりましょう」「こういうことに気を付けましょう」と話が広がるんですが、おそらく無理なんです。
たとえば、普通にスマホに友達からメール来たら、開いちゃうじゃないですか。それを一度立ち止まって「これ怪しくないかな」って考えるのなんて、なかなかできないですよね。ですので、今日は「個人がやるべきこともありますが、そういうことを個人がやらなくても良いように、セキュリティが保たれるような世界に僕らは持っていくんですよ」という話をしたいな、と思っています。
個人が意識せずとも、セキュリティが保たれる?
永易:
当社が提供している内部脅威対策ソリューションでお話しします。
具体的にいうと、PCの操作ログやアプリケーション、サーバーなどのログを解析し、異常な行動をしていないか、アクセスできないはずのものにアクセスをしていないかをAIと人が見て判断をしています。そして怪しい行動があれば事前に検知して情報の漏洩を防ぎます。
たとえば人的ミスの場合、意図的に行うケース/あるいはうっかりしてミスをしてしまうケースがあります。この両方に対し、ログの解析で検知し、リスクの低減のために対策を講じることが可能です。
また、仮にもし情報が漏洩していたとしても、短い時間でそれがわかるような仕組みになっております。 情報漏洩が起こった場合、外部から指摘されて判明する…というのが最悪のパターンですが、当社のサービスですと未然にある程度判断できますので、そういう意味では情報漏洩が広がって行くところも防げるソリューションになっています。
働いている人から見れば、自分が気付かないうちに危険な行動をしていたとしても、会社が仕組みで気付くことができます。ここが先ほど松山さんがおっしゃった「個人が意識せずとも、セキュリティが保たれる」につながると考えています。
松山: 我々が最近特に気にしているのはメールのやり取りですね。リモートワーク下でもメールのセキュリティ対策ができるようなソリューションを提供しています。たとえば、見積書のような書類を誤送信したら大問題になりますよね。そうした操作間違いに対して対策を打てるソリューションです。
リモートワークに付随して話題になっている言葉に「PPAP」という言葉があります。 端的に言うと、メールにファイルを添付する際、zipで暗号化し、パスワードを別送する方法です。このPPAPを止めよう!という動きが官公庁の方々を中心に、色々な企業で起きています。
ですが、リモートワークの見えない環境下でPPAPを止めましょうといっても浸透しづらいのが実情です。そこで当社ではFENCEというセキュリティブランドの製品を提供しています。これを導入すれば、いつも通りファイルを添付して送信するだけで、きちんと保護された状態になると。エルテスさんのようにログを取得して全体を裏から確認するというソリューションもある一方で、メールセキュリティのようなピンポイントのソリューションでより確実に、よりセキュアな運用をしていただけるようご提案をしています。
リモートワークで世界がどう変わるか?
松山: リモートワークが広がると、徐々に仕事とプライベートの境界がなくなっていくと思うんです。
まず、会社に行く必要がないので、普段過ごしている場所で仕事をする。ただ、そこは生活や遊びのための空間でもあるわけですよね。このように境界があいまいになると、発想力も柔軟になるんじゃないかと思っているんです。
たとえば、会議室に閉じこもって上司に睨まれながら一生懸命アイディアを考えていた…という経験、ありますよね?ところが、自宅であれば垣間見える奥さんの苦労とか、友達とのやり取りから何か着想を得られるんじゃないかと。結果的に、今より面白いワクワクするようなビジネスが生まれてくる、そういった世界になっていくのがリモートワークかなと思います。
登壇企業による提供製品をご紹介!
本セッションにご登壇いただいた企業様が提供するシステムをご紹介します。
ITトレンドEXPO次回もお楽しみに!
当日のセッションでは、登壇者が視聴者の皆さんからの質問にリアルタイムで答えてくれます。ぜひ次回のITトレンドEXPOへのご参加お待ちしております!(参加無料)
▽ITトレンドEXPOの開催情報はこちら
