この1年の間でテレワーク実施に関する意識はどのように変わったか?

昨年来の新型コロナウイルス感染拡大を受けて、現在首都圏を中心に多くの企業がテレワークを実施しています。2020年4月の第1回目の緊急事態宣言前後に急遽テレワークの導入を決めた企業は、当初こそかなりの混乱が見られたものの、この1年の間に課題を1つずつつぶしていきながら、ここへ来てようやくテレワークに適した働き方が定着しつつあるようです。

しかしその一方で、当初は目を向ける余裕がなく「見て見ぬふり」をしてきたテレワーク固有のさまざまな課題が、徐々に顕在化してきているのも事実です。特にセキュリティに関してはさまざまな課題が指摘されており、実際にテレワーク環境の脆弱性を狙ったサイバー攻撃も多発しています。

そこで弊社では、2021年2月26日から同年3月9日にかけて、メールマガジンの読者を対象にしたアンケート調査「テレワーク実施におけるセキュリティ対策に関するアンケート」を実施しました。実は2020年3月にも同様のアンケート調査を行っているのですが、今回は最新の調査の結果を紹介しつつ、昨年の結果と比較しながら近年におけるテレワーク実施の動向やユーザー意識の変遷などについて考察してみたいと思います。

いまだに半数の企業がテレワーク環境のセキュリティ対策に不安を抱えている

まず、今回の調査に回答した企業の92%が、何らかの形で「新型コロナウイルスの感染拡大の影響でテレワークを実施している」と答えており、昨年の79%から13ポイント増加していることから、やはりこの1年間でテレワークの実施がかなり広がっていることがうかがえます。またテレワークを「実施していない」と答えた企業に対して行った「実施していない理由は?」という質問に対して、昨年は「設備やシステム、ルールが整っていない」という回答が52%を占めた一方、今年は13%と急減しており、この1年の間にテレワークのためのインフラやツールが急速に普及したことが見て取れます。

また「テレワーク実施時のルールは整備できていますか?」という質問に対して「できている」と回答した割合は、昨年の70%から86%へと増加しており、「テレワーク実施時の情報セキュリティポリシーは整備できていますか?」という質問に対しても「できている」という回答が67%から89%へと増えています。このことから、ツールの導入・整備だけでなく、制度面での対応も多くの企業で着々と進められていることが分かります。

このようにテレワーク環境の整備が着々と進む一方で、セキュリティ対策について不安を感じている企業はまだまだ多いようです。「テレワーク実施時のセキュリティの状況に不安を感じていますか?」という質問に対して、前回の調査では60%が「ある」と回答した一方、今年は50%が「ある」と回答しています。「不安が10%減った」ととらえることもできますが、依然として半数の企業がセキュリティに不安を抱えながらテレワーク環境を運用しているというのが実態のようです。

また「テレワーク実施時のセキュリティ対策について重要だと感じていることはどういったことですか?」という質問に対して、最も多かった回答は「テレワーク実施のルール、セキュリティポリシーの整備」でしたが、次いで「マルウェアの対策」「外部からの社内システムへの不正アクセス」という回答が多く、やはりテレワーク環境を狙ったサイバー攻撃のリスクを懸念する声が多いという結果が得られました。

EDRやNGAVなどを使ったエンドポイントセキュリティ対策の強化も有効

ではこうした懸念を払しょくするには、一体どのような対策を施すべきなのでしょうか。本アンケート調査の結果からも見て取れるように、やはりまずは自社のセキュリティポリシーやテレワークの運用ルールをしっかり定めて、それを社内で周知徹底する必要があります。またセキュリティポリシーは「一度定めたら終わり」ではなく、継続的に見直しをかけながら最新の状況に適した形にアップデートしていくことが大切です。

また、社内のセキュリティ意識を喚起するための教育や啓蒙の活動も、継続的に行っていく要があります。特に昨今のコロナ禍の情勢下においては、人が大勢集まる集合研修の実施が困難なため、オンラインツールをうまく活用してフィッシングメール対策などの教育メニューを実施したり、最新の脅威情報の共有を図る必要があるでしょう。また、いざインシデントが発生した際の連絡体制も、テレワーク環境に適した形にアップデートしておくことが重要です。

そしてテレワーク環境に特有のセキュリティリスクとしては、やはりVPN環境の脆弱性チェックは欠かさず行っておきたいところです。具体的には、「VPNの構成やポリシー設定、ソフトウェア/ハードウェアの設定などが適切に行われているか」「十分なセキュリティ強度を持つ認証技術(2要素認証等)が利用されているか」といった点がチェックポイントになります。

こうした対策に加え、EDR(Endpoint Detection and Response)NGAV(次世代アンチウイルス)といったエンドポイントセキュリティ対策を導入しておけば、より安心感が高まるでしょう。弊社でも「Cybereason EDR」「Cybereason NGAV」といった製品を提供していますが、これらの製品を導入しておけば、PCをインターネットに直接接続するテレワーク環境において、万が一PCがマルウェアに感染してしまったとしても、すぐに脅威を検知して対処できます。テレワーク環境をよりセキュアに運用していくためには、ぜひとも導入を検討したいところです。