10月1日よりヤフーが全社1万人規模の無制限テレワーク制度に踏み切ったことが話題になりました。時代は働く場所を選ばない「新しい働き方」へと確実に切り替わっていっています。一方で、コロナ禍で在宅勤務・テレワークを実施していましたが、すでに取りやめた企業は26.7%という調査結果もでています。テレワークの実施には人員管理やIT環境の整備に加え、セキュリティの壁といった問題が立ちはだかります。今回はテレワークの導入に必要なセキュリティにポイントをあてて解説していきます。
ヤフーの実施した1万人規模の無制限テレワーク
"ヤフーが従業員約7000人を対象に、回数制限やフレックスタイム制のコアタイムを廃止した“無制限のテレワーク制度”を10月1日に導入した。同社は2014年から旧テレワーク制度を導入していたが、新型コロナウイルス感染症の流行で、20年2月に原則在宅勤務へ切り替えていた。今回の新制度はコロナ下の緊急的な体制をこれからの働き方として正式に定めたものだ。
2020年10月3日"
引用:Yahooニュース
ヤフーでは、従来は月5回までの制限付きでのテレワークの導入を認めていましたが、今月から無制限テレワークに振り切りました。回数上限以外にフレックスのコアタイム等も廃止されています。正社員、契約社員、嘱託社員の他、派遣社員も含めて「全員」の1万人規模での一斉切り替えです。自宅の他にも、個人の創造性が発揮されるなら場所に制限を設けない、生産性が高く、創造性を発揮できる働き方への移行という説明です。
ヤフーの実施したセキュリティ体制とは
ヤフーでは今回の一斉切り替えに当たり、1万人規模の従業員がテレワークで働くことを前提としたセキュリティ体制を築きました。記事の中でCISO室セキュリティ推進室の石橋崇室長が説明している、同社のセキュリティには次のようなものが挙げられています。
・端末の操作ログ取得を強化
・接続端末は貸与PCのみ(個人端末の業務利用禁止)
・社内システムへのログインへの多要素認証(ID/パスワード以外にもう一つ)
・社外からアクセスできる情報区分の整理(データのアクセス権限の管理)
これらは決してヤフーならではの特別なセキュリティ対策ではなく、むしろ基本的に守らなければいけない事項です。石橋室長も「基本的なことですが、社外からどこまでアクセスしていいかを定めること。無制限のテレワークだからといって、何から何まで社外からアクセスさせるわけにはいきません。守らなければならない情報を特定し、それ以外はある程度のリスクを許容して業務の利便性を上げていくことが大事です」とデータのアクセス権限について説明していますが、アカウントの管理と適切な権限の付与はセキュリティ対策の基本となります。その上で各アカウントの管理をさらに強化するために、ログの取得や、接続端末の規制、多要素認証の実施等を併せて取り入れています。それでは事項でヤフーが「基本の対策」と説明するデータのアクセス管理について、詳しくみていきましょう。
適切なアクセス管理を行うには
アクセス管理とは
アクセス管理とは、ユーザへのアクセス権と、その設定や変更に関するサービス要求を効率的に運用する仕組みです。アクセス管理によって、許可されたユーザのみが必要なシステムやサービスを利用できるようにし、許可されていないユーザの利用を制限します。
例えば情報を格納するデータベースの運用については、まず利用者ごとにアカウントを割りふるようにしましょう。システム管理部門において、データベース管理業務については管理職や実務担当などそれぞれの役割があります。もしも使用するアカウントを共有している場合は、「やっていい操作」と「やってはいけない操作」の区別がつかず不都合が生じてしまいます。またログを取得していても、操作者を特定するための判断材料となるべきアカウントがすべて同じでは、ミスや不正操作をしたアカウントを特定することができません。データベース管理者に対しては、管理者権限を付与した「データベース管理用アカウント」と、管理者権限がない「一般アカウント」に分ける必要があります。
アクセス制御(認証)の設定
利用者ごとにアカウントを作成したら、次は適切な権限の付与を行います。「どの情報に誰がアクセスできるのか」をコントロールすることが必ず必要です。
・アプリケーション側で実装する、データベースに対するアクセス制御
・データベース側で実装する、データベースに対するアクセス制御
・データベースに格納されている、表へのアクセス制御
こうしてどのアカウントがどの情報にアクセスできるか細かく設定していくことが重要です。これらのアクセス制御をしていくときにポイントとなるのが「機密情報の特定」になります。「このデータベースのどの表のどの列に守るべき重要な情報が入っているのか」といったより細かな精度で、重要な情報が入っている場所を把握しておくことが「機密情報の特定」になります。機密情報が入っているデータ(表)へアクセスできるアカウントを最小限にし、それ以外はセキュリティ対策を緩めるといったコントロールが可能になります。
監査・監視
監査・監視とは、データベースに対して「いつ」「誰が」「どのデータを」「どのように操作したのか」という情報(アクセスログ)を取得、保全、分析する作業のことです。これにより、アクセス違反や不正な変更の検知の他、情報漏えいが発生した場合の発生経路や被害の範囲、影響度を調査することができます。
アクセス権限が適切に管理されていないと
基本ともなるアクセス管理がきちんとされていないと、顧客情報や知的財産の流出、社内情報の改ざん、個人情報の漏えい等につながり、社会的信用の他、莫大な損害賠償の支払いといった金銭的な負担が生じてきます。
・すでに退職したり出向中の社員、契約が終了した派遣スタッフのアカウントが未整理で放置されている。
・アクセス権の管理基準や管理者がはっきりしない
・ユーザの業務内容と、アクセス権の紐付けが不明瞭
こうした管理上問題のある場合は、早急にポリシーを定めて適切な管理を行う必要があります。
新しい働き方改革に見合ったセキュリティの確保
テレワークの導入に切り替える企業が増える中、2020年7月に東京商工リサーチが実施した調査では、新型コロナウイルス感染症の感染拡大を防ぐため、在宅勤務・リモートワークを「現在、実施している」と回答した企業は31.0%だったのに対し、「実施していたが、現在は取りやめた」は26.7%となった結果も発表されています。また大企業の55.2%が「現在、実施している」だったのに対し、中小企業では26.1%にとどまっているとの結果から、中小企業ではテレワークの導入や持続が困難であることが読み取れます。この結果について東京商工リサーチは「社内インフラの整備、人員充足度など、業務オペレーションの違いが背景にある」と分析しています。
テレワークの導入となるとやはり、ITインフラ、セキュリティをどう確保するのかといった問題、その構築と保守のための人員リソース不足などから持続できないとみる企業も多いのが実情ではないでしょうか。これらの問題を社内の人員を使い、特別なセキュリティを構築しなければいけないとなると確かに難しい障壁に思えます。しかしセキュリティ専門企業が提供するデータベース暗号化ソリューションなら、既存のシステムを極力変えることなく、簡単に導入し、保守も専門家に任せつつ、ヤフーが実現したようなアカウント管理、ログの管理、そして適切な情報へのアクセス権限の管理が行える他、情報を格納しているデータベースを暗号化して情報漏えい対策にも強固なセキュリティ対策を実現することが可能です。これらのセキュリティ対策は、テレワークを実施していなくても、日ごろから社内できちんと構築しておかなければいけない基本の対策です。必要な部分のみ、専門会社のソリューションをいれていくことで、こうした課題も解決していけるでしょう。