特集
新しい働き方に求められるセキュリティ対策とは

立命館大学 情報理工学部セキュリティ・ネットワークコース
教授
京都大学博士(工学)

上原 哲太郎

1995年 京都大学大学院工学研究科博士後期課程研究指導認定退学。京都大学大学院工学研究科助手、和歌山大学システム工学部講師、京都大学大学院工学研究科助教授、京都大学学術情報メディアセンター准教授を経て、2011年総務省技官。通信規格と情報セキュリティ施策に従事。2013年より現職。NPO情報セキュリティ研究所理事、NPOデジタル・フォレンジック研究会副会長、(一財)情報法制研究所理事、京都府警察サイバー犯罪対策テクニカルアドバイザー、和歌山県警察サイバー犯罪対策アドバイザー、滋賀県警察サイバーセキュリティ対策委員会アドバイザー、芦屋市CIO補佐官。

2020年4月7日の新型コロナウイルス感染症緊急事態宣言は、企業・組織にとって仕事のやり方を見直し、情報システム部門の方々にとってはセキュリティ対策の在り方の転換点になったのではないでしょうか。そこで、テレワークを取り入れたこれからの新しい働き方に対応すべきことについて、サイバーセキュリティ、システム管理、自治体情報システムなどを専門に研究されている立命館大学 情報理工学部 教授 上原 哲太郎 氏にお話を伺いました。

テレワークのセキュリティ対策には、
情報資産の格づけによるリスク管理が必要

事前の準備なしにテレワークの実施を余儀なくされた企業・組織では、多くの問題が発生しましたが、セキュリティの観点で最低限必要なことについてお聞かせください。

新型コロナウイルス感染症に関する緊急事態宣言に伴い、これまで強固に守ってきたセキュリティ対策に穴を開けざるを得なかったことに起因する問題や、労務管理や勤怠管理にセキュリティが絡むような、さらに複雑な問題も発生しました。時給制の勤務体系を取り入れている場合、より厳密な労働時間の管理が求められるため、非常に苦労されていると思います。その対策として、従業員がPCの前に座って仕事をしているかを記録するような仕組みや、本当に座っているかをカメラで確認するシステムを利用している企業・組織もあります。しかし、これは本来テレワークに取り入れるべき管理方法ではなく、これまでのように出社して仕事をする場合の労務管理や勤怠管理を、そのままテレワークに持っていこうとして、無理が生じた結果です。働く場所が変わったなら、労務管理や勤怠管理も発想を転換してテレワークに合わせて整えていくべきです。

セキュリティ対策も同様で、最初から社内で業務をするのとまったく同じセキュリティレベルを保とうとすると、がんじがらめになってうまくいきません。会社で使用しているPCを持ち帰り、社内LANにVPN(Virtual Private Network)で接続する場合でも、私物のUSBメモリやSDカードを接続してしまう可能性があるなど、物理的なセキュリティが保てません。また、Web会議の会話を隣の部屋で家族が聞いていたり、PCをのぞき見した情報をどこかでしゃべってしまうことで情報が漏洩する可能性もあります。今、Web会議の声が誰かに聞こえてしまっているかもしれないという問題が、情報漏洩の観点からかなり話題になっています。

テレワークでは、これまで閉じていることを前提としていた社内ネットワークに穴を開けることになり、セキュリティの観点ではこれが一番頭の痛い問題です。緊急事態宣言中に発生したセキュリティの問題の多くは、VPNなどで境界線に穴が開いているのに、それまでと同じようにシステムを動かしてしまっていることに起因していたと思います。

テレワークのセキュリティ対策の基本は、すべてのデータを社外持ち出しOKとNGに仕分けることです。さらに、持ち出しNGのデータを扱う際は社内での業務を義務づけ、それ以外の情報はテレワークで扱うことを可能とする情報資産の格づけを行います。テレワークのセキュリティ対策には、機密性の確保と情報漏洩防止策の強化が求められますが、ポイントは各部署で扱っている情報のリスク管理ができていることです。

問題発生時の責任の所在が曖昧なBYODには、
事後の対応を難しくする可能性が

テレワークにBYODを取り入れることの是非についても話題になりましたが、どのようにお考えですか?

BYOD(Bring Your Own Device)は、個人所有の端末がマルウェアに感染していないことをシステムとして確認できない問題があります。そのため、セキュリティリスクが高いことを承知の上で選択しなければならず、長期間続けることは危険です。問題が発生した際の責任の所在が曖昧で、対応が難しくなることも、BYODの問題点です。もし、その状況で個人所有のPCがマルウェアに感染して情報漏洩が発生してしまった場合、マルウェア対策は誰の責任なのかが問題になりますが、個人所有だから会社は責任を取らなくていいというわけにはいきません。また、情報流出の痕跡調査のためにフォレンジックを実施することになっても、企業に個人所有のPCを預かって調べる権限があるのかなど、ややこしい問題が続々と出てきます。セキュリティだけでなく、働いてもらう従業員に個人負担を求めるのはいかがなものかという観点からも、BYODは使い方を限定して取り入れるべきです。少なくともPCについては、企業から貸与すべきだと思います。仕事の成果は会社に返してもらうが、WordやExcelもブラウザも個人所有のPCを使ってくださいというやり方は、見直していただきたいと思います。

非常事態であっても、企業にとっては利益を上げるために業務を続けていくことが第一優先なのは間違いありません。セキュリティポリシーはもちろん守るべきものですが、非常時には例外として破っても構わないと考えています。ただ、本来は非常時の事業継続計画(BCP)が作られていなければならず、セキュリティポリシーの一時的な解除はそれに沿って行うべきです。BCPがないのであればやむを得ませんが、一時的だったはずの状況を放置すれば当然問題が起きますので、その間にセキュリティポリシーの見直しを行って、事業継続とセキュリティ対策の両輪で企業活動を進めてください。

BYODのデメリット

  • 端末のセキュリティ対策が従業員任せになる
  • 問題発生時の責任の所在が明確でない
  • フォレンジック実施時、端末を預かれない可能性がある

PrintしてHankoを押してScanしてから返送する
このPHSが日本のIT化を阻んでいます

押印のためにテレワークができないことが話題になりましたが、はんこ文化の見直しは進むのでしょうか?

押印の問題はテレワークを阻む壁として話題になりましたが、2018年に初版が策定されたデジタル・ガバメント実行計画のなかでは、すでに押印廃止について取り上げられています。そもそも押印は微妙な制度で、法的な根拠がはっきりしていません。不動産関係など、法律で署名・押印することが定められているものもありますが、押印を必要としている書類の多くは、これまでの商慣習からやっているに過ぎません。この「商慣習で決まっている」ことに民事契約法228条4項上の根拠がついてしまい、法的義務であるかのように扱われているというのがややこしく、この法的根拠にこだわって電子化しようとすると押印と同等の要件を満たす電子署名などの手段に置き換える必要が出てきます。

デジタル・ガバメント実行計画(2018年1月16日 初版(eガバメント閣僚会議決定)) から抜粋

内閣官房は、2017年度(平成29年度)末までを目途に、先端技術を活用して書面・対面なしで取引を完結させている事例集を取りまとめ、民間事業者の取組を促す。あわせて、「デジタルファースト・アクションプラン」において示されている①株主総会プロセスの電子化、②不動産取引における重要事項説明のオンライン化、③国家資格の取得更新時におけるe-ラーニングの活用といった事項を含めて、行政機関において率先的に取り組むべき事項を取りまとめ、順次、実施することにより、官民双方が社会全体のデジタル化に向けた意識改革を行っていく。

実印による押印と同等の置き換えができる電子署名は、認証された電子署名企業者による電子証明書が必要だと電子署名法(電子署名及び認証業務に関する法律)で定められていますが、取得には実印の取得よりも手間と費用がかかります。近年、電子署名を用いた電子契約が普及し始めていますが、これは、自分や契約相手が電子証明書を用意するのではなく、電子契約サービス会社を利用する企業が増えていることによるものです。押印の問題は、商取引だけではありません。労働基準監督署は、労務関係の書類に署名とともに押印がされているか、書類でのエビデンスを残すことを要求することが多いようです。こういった状況がはんこ問題として、テレワークの障害になっているように思います。

電子署名及び認証業務に関する法律 第二章 電磁的記録の真正な成立の推定 第三条から抜粋

電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。

日本のIT化が遅れている原因は、
フォーマットにこだわった古いやり方の継続

各国の新型コロナウイルス感染症対策を見ても、日本のIT化は諸外国に比べ遅れているように感じましたが、IT化を進めるために必要なことは何だとお考えですか?

IT化を進めていくことは、長期にわたり官民共通の課題となってきました。やはり、ITを使えば仕事が減るという発想を持たないホワイトカラーと呼ばれる方々のITリテラシーの底上げをしなければ、IT化も働き方改革も進まないと思います。Excelを使っているのに、セルに入力した数字を電卓で計算している方が皆さまの組織の中にもいらっしゃるのではないでしょうか。

また、書類をワークフローの中心に据える習慣が抜けず、帳票のフォーマットありきで仕事の流れを決めてしまう文化も変えていく必要があります。紙の時代の帳票は、業務に必要な情報を定義してワークフローを自然に定められるという役割がありました。しかしそのことがいつの間にか、ワークフローを決めるときにまず帳票の様式から定める文化を生んでしまいました。大事なのは帳票のフォーマットではなく、そこに入力されるデータの中身です。ワークフローは、企業間、部門間、人と人の間にどのような情報が流れているのかを把握し、それらがデジタルデータとして集約や分散された後、最終的には計算により必要な情報が得られる流れを前提として組み立てる必要があります。はんこ問題の本質も、データの流れを意識できない人たちによって、帳票の中身を埋めて押印するワークフローが作られてしまっていることだと思います。はんこ文化をなくして日本のIT化を進めていくためには、ホワイトカラーの方々がデジタルデータを前提として物事を考えられるように意識を変えていただくことがカギになってくると思います。

フォーマットにこだわった古いやり方を続けたことで破綻したのが、新型コロナウイルス感染症の発生届です。「所定の用紙に手書きをしてFAXを送る」昭和のやり方が見直されなかったことで、集計に時間がかかり大変な思いをされている現場の方々へさらに負担をかけることになりました。最近ようやくオンライン入力の方向に変わったのですが、海外のメディアがセンセーショナルに報道したことで、この事実を知った方も多かったかもしれません。新型コロナウイルス感染症の発生届の件は、仕事の流れを変えられず、IT化が遅れたことによる影響がわかりやすい例だと思います。

ただ厚生労働省に関しては、2016年に日本年金機構が標的型攻撃により情報を流出させた際に、大変な批判にさらされたことで、IT化にブレーキがかかってしまったという経緯があり、IT化の遅れに関しては同情の余地があるように感じています。IT化を進めれば、また年金問題と同じ目に遭うかもしれないと、以前から続いている無難な方法で継続していましたが、今回、デジタル・ガバメント実行計画をテコにした厚労省のシステム更改が一部前倒しされたことは、ファインプレーだったと思っています。

日本のIT化が遅れているのは、ITを専業としている販売会社に何でも任せてしまっていることも要因と考えます。販売会社の社員が客先での御用聞きにより把握した問題を、すべて「うちに任せてください」と請け負い、そのままユーザー企業のIT部門が提案に乗ってしまうという流れは、よくあることだと思います。これを続けていけば、ユーザー企業の中でITを活用した業務をどう改善していったらいいのか、業務の中に無駄がないのかを考える力が育たなくなってしまいます。もちろん販売会社から改善策として提案されたパッケージソフトウェアを使用するのは悪くはないですが、その運用が限界にくると、今度は業務の無駄を排除しないままRPA(Robotic Process Automation)を導入しようとして、結局元の木阿弥になってしまうパターンが散見されます。ユーザー企業の中に、パッケージソフトウェアでまかなえる業務、新たにシステムを開発すべき業務、RPAの導入が適切な業務を合理的に判断できるIT部門が育たなければ、日本企業のIT化の遅れ問題は解決できません。

メールを狙った攻撃の最大のリスクは、
メールボックスそのものに侵入されること

以前から、一部でPPAP方式と呼ばれているパスワード付きZIP形式のファイルをメール添付する問題に対して異を唱えてこられましたが、PPAP方式の問題点についてお聞かせください。

サイバー攻撃によりメールの中身が読み取られる最大のリスクは、メールボックスそのものへ不正に侵入されてしまうことです。今はクラウドファーストの時代なので、多くの企業・組織がメールをクラウドサービスに預けていますが、サービスへの認証がIDとパスワードだけでは、フィッシングなどによりIDとパスワードが盗まれたとき、メールボックス丸ごとすべてのメールが読み取られてしまいます。この状況では、PPAP(パスワード付きZIP形式のファイルをメールに添付)にしても、パスワードを同じルートで送れば当然パスワードのメールも読み取られているので、暗号化した意味がありません。

PPAPでも、暗号化せずそのまま送っても、添付ファイルを読み取られるリスクは変わりません。リスクが同じなら、暗号化せずそのまま送った方が、暗号化と復号の手間がかからない分、マシといえるのかもしれません。PPAPが一般的になった経緯については諸説あります。大きな要因は、メジャーなセキュリティポリシーに書かれている「外部へ添付ファイルを送るときは、ファイルを暗号化しておく」というような一文にある「暗号化」を、形式的に都合よく解釈した結果ではないかと理解しています。ZIP形式で暗号化していても、設定したパスワードが緩ければ、暗号化しているとはいえません。しかし、それでもZIP形式にはなっているので、暗号化した状態で送っていることには違いなく、セキュリティポリシーには違反していません。さらに、本来パスワードは別ルートで送るべきなのですが、規定にはそこまで書かれていないため、ZIP形式のファイルとまったく同じ方法で送ってしまっているんだろうと思っています。

PPAPとは(出典:JIPDEC 「くたばれPPAP!」)

  • Password付きZIP暗号化ファイルを送ります
  • Passwordを送ります
  • ん号化(暗号化)
  • Protocol

新しい働き方でのセキュリティ対策には、
シンクライアントやタブレット端末の活用を

メールのセキュリティの担保には、S/MIMEの導入を検討するべきでしょうか?

銀行など、高いセキュリティレベルを担保しなければいけないところでは、S/MIMEを使っていくことになるでしょうし、その値打ちもあります。しかし、一般企業でS/MIMEが普及して使われるようになるかというと、費用や運用の手間などの理由から現状では難しいと思います。一般企業では、Office 365やG Suiteのような、クラウドベースのビジネスツールがS/MIMEにクラウド上で対応して、証明書の管理も一括でやってくれるようになれば普及すると思います。

一般企業がPPAP以外の方法で、添付ファイルのセキュリティを担保しようとする場合、送信側からは正しく暗号化されて届くこと、受信側からは送り主が確認できることが絶対に外せない要件です。クラウドストレージのサービスであればSSLを利用したhttpsを使っていますので、少なくともアップロードする瞬間とダウンロードする瞬間は暗号化されていることが保証されます。

クラウドサーバーの中にデータが置かれている間に、サービス提供事業者にデータを盗み見られたり、漏洩事故が心配な方もいらっしゃると思いますが、そういうときこそファイルをZIP形式にしてアップロードすればいいと思います。ZIP形式のファイルの復号パスワードは、暗号化ファイルのダウンロード先に届けばいいので、メール送信で問題ありません。この運用でデータを盗み見ようと思ったら、メールとクラウドサーバー内のデータをどちらも盗まなければならないため、そこまでやるのはかなりハードルが上がります。

また、送信ミスをしてしまった際、クラウドベースのストレージであれば、データを削除できます。送信ミスに気づいたタイミング次第では、すでに開封済みの可能性はありますが、リスクを減らせる手段を持っているのは非常にいいことではないでしょうか。ベストなのは、パブリッククラウドのストレージを使うのではなく、別途クラウドのストレージサービスを契約することです。さらに、データをダウンロードする際に、ロゴを表示させるなどして「これは○○株式会社のサーバー」だとわかる仕組みにしておけば、ダウンロードする側も安心できると思います。

このタイプのサービスで最近注目しているのが、Mozilla Corporationの「Firefox Send」です。オープンソースの送信システムなので、自社でサーバーが立てられ、送信者が「○○株式会社です」と公表できるため受信者も安心してファイルを受け取れます。「Firefox Send」は、URLの中に暗号鍵が入っていて、その暗号鍵の暗号化と復号をブラウザの中でできるようになっています。暗号化されたデータが置かれているクラウドサーバーには鍵はないので、サーバーがハッキングされてメールを盗まれても中身が読めない仕組みになっています。こういったサービスをうまく使っていくことでファイルの送受信により情報を盗まれるリスクを減らしていけると考えています。

また、社内でのメールのやりとりにもファイルの添付を許可している企業は多いと思いますが、この文化を変えていくことがメールからの情報漏洩対策には必要です。メールへのファイル添付を許可する運用をしている限り、人為的なミスは避けられません。今後はメールへのファイル添付は「例外的な処理で許可が必要」にしていくべきです。ファイルのやりとりには、共有サーバーやグループウェアを使うことで業務には支障がないはずです。

最後に、情報システム部門の方へ、メッセージをお願いします。

今後、少子高齢化が急速に進み、子育て支援や介護が深刻な問題になります。テレワークは、新型コロナウイルス感染症による緊急事態宣言の影響で広がりを見せましたが、本来はもっと早くから取り組む必要がありました。この二つの社会問題に対応し、いつでも在宅勤務ができる環境を整えておくことは、企業の存続にとって欠くことができません。

テレワークの環境整備で情報システム部門の方々に対応をお願いしたいのは、「境界線防御」からの脱却です。近年、ゼロトラストというすべてが信頼できないことを前提としたセキュリティの概念がクローズアップされていますが、ゼロトラストでは境界線ではなく、端末同士のつながりの中でリスクを判定します。境界線防御では例外的な接続のみを考慮すればよかったのですが、ゼロトラストは過去のアクセス履歴に関係なく、テレワークで使用する端末が社内システムに入ろうとするたびに、その端末が信頼できるかを判定することになります。そのため、端末の接続を許可する・しない、データを転送する・しないといった「信頼できるもの」と「信頼できないもの」を一つひとつ見直すことが重要です。

また、働き方を変えざるを得ないなか、これからのセキュリティ対策を考えたとき、マルウェアによるリスクを下げるためには「脱パソコン」という選択が増えていくと思います。テレワークやノマドワークの社員に貸し出すのは、PCではなくシンクライアント端末やOSの中でセキュリティモデルがしっかりしているタブレット端末が当たり前になっていくはずです。

今、企業・組織は、これまでの常識を劇的に変化させるパラダイムシフトのさなかにあり、今後のセキュリティ対策を抜本的に変えていかなければならない、非常に大きな転換点にきています。

(「SKYSEA Client View NEWS vol.73」 2020年7月掲載 / 2020年5月オンライン取材)

情報誌『SKYSEA Client View NEWS』のご紹介
ページのトップへ