ウィズコロナ/アフターコロナの
新しい働き方に潜むリスクを考える
第5回「シェアオフィスの落とし穴」
テレワークの普及に伴って、シェアオフィスやサテライトオフィス、カフェなどで仕事をされる方も増えてきています。
全6回シリーズ
「ウィズコロナ/アフターコロナの新しい働き方に潜むリスクを考える」は、全6回シリーズでお届けします。
コロナ禍の中、働き方は多様化してきています。都心のオフィスの空室率は徐々に上昇し、オフィス面積を大幅に減らす計画を発表した大手企業もあります(※1)。この背景にはテレワークの普及が大きく影響しています。
テレワークの普及に伴って、「自宅が狭い」、「家族と長時間一緒で気づまりする」、「仕事に集中できない」といった理由で、シェアオフィスやサテライトオフィス、カフェなどを利用する方も増えてきています。
そもそもテレワークとは、「tele = 離れた所」と「work = 働く」の二つの言葉を組み合わせた造語で、ICTを活用した時間や場所にとらわれない柔軟な働き方を意味します。
こうした自宅、従来のオフィス以外のテレワーク設備が整ったオフィス環境は、サードプレイスオフィスと呼ばれ、テレワークの更なる普及のカギになると言われています。
サードプレイスやカフェなどの施設は利便性が高い反面、不特定多数の人間が利用することから、意図せず業務用PCやUSBメモリを紛失したり、第三者に機密情報を盗み見られたりといったリスクが常につきまといます。
目次:
「新しい働き方」環境モデルの図 ― 今回説明の範囲(青枠部分)―
|
無線LANの通信内容が第三者に覗かれる
サードプレイスオフィスや、カフェなどの施設でのモバイルワークで、無線LAN(Wi-Fi)を利用してテレワークをしたことがある方も多いかと思います。
どこでも好きな場所で気軽にインターネット接続が可能な無線LANは便利な技術ですが、セキュリティ対策が不十分な回線に接続すると、知らないうちに第三者に通信内容を覗かれたり、IDやパスワード、クレジットカード情報などが盗まれて不正利用されたりする可能性があるので注意が必要です。
では、こうした被害に遭わないためには、どうすれば良いのでしょうか?
最も安全だと思われるのが、セキュリティ対策がされた会社貸与のWi-Fiルーター、スマホのテザリング機能を使うことです。しかし通信費などを考えると、施設側が提供する無線LAN回線に接続することも選択肢に入ってきます。
サードプレイスオフィスやカフェなどで、施設の無線LANを利用する際に注意すべき点を、参考まで以下に挙げます。
No. | 分類 | 注意点 |
1 | 無料Wi-Fi | 業務用PCでは、極力無料Wi-Fiを利用しない |
2 | VPN利用 | 施設が提供する無線LAN(無料Wi-Fi)を利用する際は、極力信頼できるVPNサービスを利用する |
3 | ソフトウェア最新化 | OS、アンチウィルスソフト、業務用ソフトウェアを最新の状態に保つ |
4 | ファイル共有 | 施設が提供する無線LAN(無料Wi-Fi)を利用する際は、ファイル共有機能をオフにする |
5 | ソフトウェア最新化 | OSや業務用ソフトウェアを最新の状態に保つ |
6 | 暗号方式 | 無線LANのアクセスポイントとの通信はWPA2/WPA3などの暗号化方式を選択する |
7 | 偽アクセスポイント | 正規のアクセスポイントに似た名称のSSIDに接続しないように注意する |
8 | HTTPS利用 | 社外秘などの重要データのやり取りをする場合や、ログイン情報やクレジットカード番号、暗証番号といった大事な情報をやりとりする場合は、URL欄をチェックし、鍵マークや「https」から始まっているかを確認する |
参考:これだけはやっておきたい!「無線LAN情報セキュリティ3つの約束」 政府広報オンライン(※2)
不特定多数が利用する施設におけるリスク
サードプレイスオフィスやカフェなどの環境は、仕事に集中しやすいといったメリットがある反面、不特定多数が利用する施設なので、業務用PCや携帯電話、USBメモリなどが盗難、紛失するリスクが、自宅や会社オフィスに比べると高くなります。
また、仕事の電話が周りに聞こえてしまい、業務内容が多くの人に意図せず漏えいしてしまうケースや、シェアオフィスに紙資料を置忘れてしまうケースも多数発生していますので留意が必要です。
サードプレイスオフィス施設の多くで、貴重品ロッカーや施錠可能な個室など、一定のセキュリティ機能が利用者に提供されていますが、カフェなどの施設では電源やWi-Fiなどの最低限の機能のみが提供され、所持品の管理は自己防衛が基本となります。
こうした施設利用者は、それぞれの場所に潜在的にあるリスクを軽減するため、以下のような対策を実行することが必要です。
*潜在リスクを適切に把握するためには、セキュリティベンダー各社から提供されているリスク診断サービスを活用し、第三者視点で脆弱性を可視化することも有効な手段です。弊社も、「テレワーク向けセキュリティ診断サービス」(※3)をご提供しておりますので、併せてご検討いただければ幸いです。
No. | 想定リスク | 推奨対策 |
1 | 一時離席中に業務用PC、携帯電話、USBメモリなどが盗まれる | ・貴重品ロッカーを利用する ・一時離席中も業務用PC/携帯電話/USBメモリを持ち歩く ・端末のデータ暗号化機能を有効にする ・セキュリティ機能付きUSBメモリを利用する ・USBキーやICカードなど、多要素認証によるユーザー認証を実施する |
2 | 業務用PC画面が盗み見される | ・サードプレイスオフィスでは機密情報を取り扱う作業は極力行わない ・のぞき見防止フィルターを装着する ・離席時は業務用PCを閉じる ・スクリーンロック設定を行う ・施錠可能な個室を利用する ・背中側が壁(無人)の席を利用する |
3 | 電話/Web会議の声が周りに聞こえてしまう | ・音環境(サウンドマスキング)製品が導入されている施設を選択する ・会議前に音漏れも含めて、周囲の環境を確認する ・話し声が他人に聞こえないように注意する |
4 | 紙資料の紛失/盗難 | ・紙資料を電子化する ・機密資料の持ち出しを管理する ・必要最低限の紙資料のみ持ち出す ・施設退出前に持ち物確認を行う |
5 | ホワイトボードからの機密情報の漏えい | ・機密性の高い情報はホワイトボードに書かない ・会議後に消し忘れ/消し残しを確認する |
6 | プリンター/複合機からの情報漏えい | ・印刷文書はすぐに取りに行く(放置しない) ・コピー原稿の取り忘れを確認する ・プリンター/複合機に不審な外部機器が接続されていないか確認する |
7 | 業務用PC/携帯電話/USBメモリの紛失/盗難を含む、インシデント発生への対応が遅れて被害が拡大する | ・インシデント発生時の連絡先情報を常に持ち歩く |
参考:テレワークセキュリティガイドライン第4版(総務省)(※4)
安全なサードプレイスオフィスの利活用
大手人材派遣会社の調査では、2020年4~5月の緊急事態宣言期間中の民間企業におけるテレワーク実施率は4割程度だったと報告されています。この理由としては、販売、営業、総務などの業種で仕事内容がテレワークになじまなかったことや、企業側のテレワーク環境/方針の整備が追い付かなかったことが挙げられています。
こうしたテレワーク環境整備などの課題に対し、サードプレイスオフィスやカフェなどの施設の利活用は十分に検討の価値があります。
しかし、サードプレイスオフィスやカフェなどの施設は、通常のオフィスや自宅とは違った潜在リスクがあり、悪意のある第三者が容易に近づける環境でもあります。セキュリティ機能が充実したシェアオフィスを利用したとしても、肝心の利用者が、企業オフィスで普段そうしているように、無防備に業務用PCや携帯電話を置いたまま一時離席をしていれば、いつかは事故が発生します。
こうした事故のリスクを軽減するために、まず企業が取り組むべきことは、ガイドラインの整備と従業員教育です。テレワークを含むDX(デジタルトランスフォーメーション)がこれから益々進んでいく中、「新しい働き方」に伴って増えた潜在リスクを踏まえ、テレワークガイドラインを整備し、従業員に気づきを与えることが非常に重要です。
その上で、施設環境のセキュリティ状況に合わせて、ICカードやUSBキーを利用した多要素認証、紙の電子化、ファイル暗号化運用などの技術的対策を必要に応じて導入することで、安全なサードプレイスオフィス利活用が実現できるのだと思います。
■参考
※1 富士通がテレワークを「常態」に、オフィス面積を半減し在宅勤務補助月額5000円
https://xtech.nikkei.com/atcl/nxt/news/18/08291/
※2 これだけはやっておきたい!「無線LAN情報セキュリティ3つの約束」 政府広報オンライン
https://www.gov-online.go.jp/useful/article/201303/1.html
※3 テレワーク向けセキュリティ診断サービス(DNP)…販売終了
※4 テレワークセキュリティガイドライン第4版(総務省)
https://www.soumu.go.jp/main_content/000560571.pdf
■執筆者
大日本印刷株式会社
情報イノベーション事業部 第2PFサービスセンター
セキュリティソリューション本部 マーケット開発部
佐藤 俊介
主な職務:
Visa/Mastercard等のカードブランド担当、セキュリティコンサルティング
保有資格:
PCI Internal Security Assessor (ISA)、PCI Professional (PCIP)
所属団体:
日本カード情報セキュリティ協議会(JCDSC)ユーザ部会 世話役
参考記事:
情報セキュリティの知見を広める伝道師(DNPの今とこれからを発信するメディア「Discover DNP」より)
関連コンテンツ:
ウィズコロナ、アフターコロナの新しい働き方に潜むリスクを考える
第1回 狙われるリモート接続 (2020/8/17掲載)
第2回 ワラの家ではオオカミを防げない (2020/8/24掲載)
第3回 木の家でもオオカミを防げない(2020/8/28掲載)
第4回 ビデオ会議における留意点(2020/9/7掲載)
第5回 シェアオフィスの落とし穴(2020/9/14掲載)
第6回 新しい働き方を「ゼロトラスト」視点で見直す(2020/9/28掲載)
|