テレワーク環境下における情シス部門のセキュリティ課題の変化

こんにちは。「メタップスクラウド」のマーケティング戦略を担当している成田（@nhiroyuki8）です。

昨年の新型コロナウイルス流行以降、働く場所が自宅やカフェなどオフィス以外の場所に変わったという人も多いはず。実際、都内企業（従業員30人以上）のテレワーク導入率は58.7％となっており、さらに週3日以上の実施が53.5％となっております。

テレワーク導入率調査結果（1737報）｜東京都

そうした中、注目すべきはオフィス以外の環境下における情報システム部門（以降「情シス部門」と表記）のセキュリティ課題の変化です。

オフィスであればデバイスの管理からネットワークの管理まで、自分たちの管理下のもとセキュリティ対策を講じることができましたが、もはやその前提が覆りつつあります。そうした中、実際に情シス部門におけるセキュリティ課題の変化がどのようなものが起きているのか、まずは情シス部門の仕事とは何なのか？そして実際に生じている課題の変化とは何か？について順を追って見ていきたいと思います。

１、そもそも情報システム部門の仕事って何？

そもそも情シス部門とは、企業の社内システムの開発、構築、運用、保守などを行う部署のことを指します。その業務は、大きくは２種類に分けることができます。

①基幹システム業務
生産・販売・在庫管理、人事・会計・給与・勤務管理などに関わるシステム業務

②情報システム業務
PCや電話、FAX、ネットワークなどの通信機器、OSやアプリケーション、ミドルウェアなどに関わるシステム業務

その他、次のようなヘルプデスク対応、外注先との対応などもあげられます。

・導入ルーツの使い方がわからない人に個別にレクチャー
・パスワードの紛失、ソフトが開かないなどのトラブル時の対応
・システム開発における外注先との日々のやり取り　など

これに加え、部署ごとに異なる導入ルーツの管理、役職によって異なるアカウントの権限設定など個別の対応要件も加わると複雑性が増し、当然 抱えるセキュリティ課題も多岐に渡ります。

こうした多岐に渡るセキュリティ課題も、オフィスの中で完結することができれば、そのリスクを最小限に抑えて運用することができます。しかしながら、テレワークの導入が加速する今、これまで通りという訳にはいかなくなっているのが現状です。次項では、具体的にテレワークによってどのようなセキュリティ課題の変化が起きたのか、例を挙げながら見ていきたいと思います。

２、テレワークにより見えてきたセキュリティ課題とは？

①PC紛失リスクへの対応
これまでは、オフィスでのみ仕事をするのが当たり前だったため、管理サイドとしては「PC持出し禁止」というルールの運用でPC紛失リスクを最小限に抑えてきました。しかしながら、テレワークの移行により「PCを持ち運ぶことが当たり前」となり、これまでのルールでPC紛失リスクを抑えることができなくなったと言えます。

（以前）PCは社内で保管されているもの
（現在）PCは社外で無くすかもしれないもの

これに加えて、Cafeや公園などのフリーWiFiの利用によるネットワークリスクも、今まで以上に大きな課題として認識されるようになりました。

要するに「PCは社外で無くすかもしれないもの」ということを前提にした運用体制・ルールの変更などが必要ということです。

その例として、

・紛失してもデバイスにデータが残らないようにVPNの利用を徹底する
・データはなるべくクラウドに保存する
・利用場所をサテライトオフィスや自宅のみに制限する

などの変更・整備があげられます。

また、もし仮にPCを紛失した場合でも即座に適切な対応が取れるように、遠隔対応・端末の追跡が可能な準備をしておくことが主な検討項目としてあげられます。

②雇用体系の多様化によるアカウント権限の複雑化な対応
テレワークが導入されたことで雇用形態が多様化したという企業も少なくありません。例えば、副業がOKになったことで「これまで正社員だった方があえて業務委託契約に変更」、正社員のみの募集のところを「アルバイトやインターンなども採用」などの構成メンバーの雇用形態の多様化があげられます。こうした変化は、同時に利用するクラウドサービス（Google、Salesforceなど ＊以降「SaaS」と表記）のアカウント権限の分け方を複雑化させることにも繋がります。

（以前）役職で主な権限を分ける
（現在）役職に加えて雇用形態によって権限を細かく分ける

業務委託の方の中には、「特定のプロジェクトのごく限られた開発部分を任されている」というケースもあり、単純に雇用形態だけでアカウントの権限を分けると、本来アクセスすべきでない顧客データへのアクセスや、新規事業プロジェクトの資料へのアクセスなど、事業運営上 クリティカルな問題を招くことにつながります。テレワーク移行に伴い、雇用形態の変化が著しい企業にとって、こうした複雑なアカウント権限の割り振りは今までやってこなかった不慣れな業務であり、どうしても見落とされがちな部分と言えます。その為、自社の導入しているSaaSが適切な運用体制ととなっているか、改めて確認し、今後の運用体制を見直すことが求められると言えます。

③勤怠管理の正確な把握
これまでは出社時に社員IDをかざすことで勤怠管理を行えいましたが、テレワーク時はオンライン上での勤怠管理を行わざるを得ません。WindowsなどOSによってはPCのオンオフによって自動的に勤怠管理が可能な場合もありますが、Macなど多様なPCを採用している企業の場合、どうしても自己申告に頼らざるを得ないとったのが現状です。

（以前）オフィスで打刻管理
（現在）オンラインで打刻管理 or PCのオンオフによる管理

これに加え、先に述べた雇用形態の多様化により、働く時間帯・曜日が異なる社員がるという場合もあります。その場合、正確な実態を把握することは困難と言えます。

上場企業、またはこれからIPOを控えるスタートアップ企業にとって、社員の労働時間の実態把握は監査の観点からも重要な事項であり、何らかの対応が各社に求められる点と言えます。

労働基準法第３６条（時間外・休日労働協定）について｜厚生労働省

④お客様によってバラバラなコミュニケーションツールの管理
この1年で大きく変わった点に、商談方法がリアルからWebへ変化した点があげられます。自分たちの会社はZoomを推奨していても、お客様側はWebxでの商談を希望されると言ったケースは少なくありません。

（以前）オフィスに出向いて対面商談
（現在）自宅やカフェからweb会議ツールで商談

また、Web会議ツールに限らず、メッセージアプリは何使うかについても、お客様の要望に合わせて都度利用ツールを変更するといったケースもよくあります。例えば、SlackやChatworkなどのチャットツールから、FacebookメッセンジャーやTwitterDMなどのSNSツール、そしてiPhoneのメッセージアプリなど多岐に渡ります。

セキュリティの観点から利用するツールは同一のものの方が良いというのは理解できますが、そうも言っていられないというのが現場のリアルな声です。現状、セキュリティと利便性はトレードオフの関係であり、どちらかを犠牲にする対応策が求められます。その為、多くの企業が営業現場ではある程度、お客様の要望に応じて柔軟に対応する運用とらざるを得ないといったのが現状ではないでしょうか。

⑤利用SaaSの増加に伴う監査対応
テレワークの増加に伴い、これまでオンプレで行ってきたものをSaaSなどのクラウドサービスへ移行するという動きが増加しています。弊社調べによると平均SaaS利用数はコロナ以前とコロナ以降では1.6倍にも増加しており、現在もな増加傾向にあります。

多くの企業で導入実績のある、SalesforceやAWSといったSaaSであれば比較的安心して導入できますが、ここ最近リリースしたばかりのサービスとなると慎重にならざるを得ません。これがもし上場企業、もしくはIPOを控えたスタートアップ企業であれば、導入しているSaaSが自社の資産を扱うのに適したサービスなのかどうかについて、監査対応の観点から導入時にしっかりと確認する必要がでてきます。

（以前）システムのほとんどがオンプレによる社内管理
（現在）システムが徐々にSaaSへ移行し社外管理へ

その一つの解決策に監査法人のお墨付きとも言えるSOC1報告書の対象サービスかどうかを導入時に確認するという方法があげられます。

＊SOC1報告書とは
SOC1報告書とは、米国公認会計士協会（AICPA）が定めた保証報告書の基準であるSSAE18（旧SSAE16、SAS70）に従って、アウトソーシング事業者（受託会社）が委託されている業務の中で財務報告に係る内部統制を対象に、監査人が手続を実施した結果と意見を表明した報告書です。
SOC1報告書は、資産運用や、データセンター、システム管理、給与計算等の業務を中心に多くのアウトソーシング事業者が発行しており、委託会社の財務諸表監査の中で利用されています。（出所：デロイトトーマツ）

オペレーショナルリスク｜Deloitte

しかしながら、そうは言っても直近リリースされたSaaSについては未対象であることが多く、全てのSaaSに求めるのは現実的とは言えません。かといって全てのSaaSを導入段階で完璧に調査すると言うのも、スタートアップ企業であれば尚更現実的ではないかもしれません。今後ますますあらゆるツールがSaaSへ以降していこうと言う中、監査対応の観点から見た導入SaaSの検討は大きな課題と言えます。

３、まとめ

こうしてみると、テレワーク導入が急速に増えたこの1年で従業員の働き方の多様化が進むと同時に、企業が抱えるセキュリティ課題も多様化したことがよくわかります。

今後ますますテレワークの導入が加速することが予想される中、情シス部門だけでなく当事者である社員一人ひとりが自身の抱えるセキュリティ課題の大きさを理解し、自らの行動によってセキュリティリスクを回避できる企業文化の醸成こそが、今の時代に求められるセキュリティ課題への対策なのかもしれません。

最後までお読みいただきありがとうございます。今後も「テレワーク」「セキュリティ」「SaaS」などをキーワードにしたnoteを定期配信させていただけたらと思います。引き続きどうぞよろしくお願いします。

＊最後に

メタップスクラウドについて：
メタップスクラウドは増え続けるSaaSの複数導入を背景に生まれた、お金・時間のムダを改善する「SaaS管理」とセキュリティリスクを抑える「ID管理（IDaaS）」、の２つの機能を備えたSaaS一元管理ツールです。
＊公式サイト: https://www.metapscloud.com/