ナレッジ

リモートワーク下におけるセキュリティ対応

日本公認会計士協会によるリモートワークを俯瞰した論点・課題(提言)「Ⅲ 情報セキュリティに関する課題」を踏まえた留意点

コロナ禍により急速に拡大したリモートワークにより、電子データの受渡し頻度上昇等に伴う、様々な情報セキュリティ上のリスクが生じています。本稿では、日本公認会計士協会が公表した提言「リモートワークを俯瞰した論点・課題(提言)」でも触れられている、一般にリモートワーク下の監査を行う上でのセキュリティのリスクになり得ると考えられる点を例に、対応案について解説します。

リモートワークによる情報セキュリティ・リスクを検討していますか

コロナ禍の影響により、多くの企業でリモートワークが取り入れられており、またデジタル化の加速を受け、企業外部との電子データのやり取りが増加しています。各種資料を電子データで受け渡す頻度や、WEB会議を通じたコミュニケーションを行う頻度も増えています。一方で、こういった変化に伴い重要性が高まった情報セキュリティのリスクも考慮する必要があります。このことは、公認会計士協会が2021年4月22日に公表した提言「リモートワークを俯瞰した論点・課題(提言)」でも触れられており、公認会計士(監査法人)と被監査会社を例に、リモートワークに伴う企業の課題を提示しています。

本稿では、提言の中で課題として記載されている、一般的にリモートワーク下の業務を行う上で、情報セキュリティの課題となり得ると考えられる点を以下で詳しく紹介すると共に、対応案のポイントを解説します。

(本記事においては、提言のうち「Ⅲ情報セキュリティに関する課題」を対象としています)

 

エグゼクティブサマリ

リモートワーク拡大により高まった情報セキュリティのリスクとして、特に重要なものとして以下が挙げられており、各リスクを細分化した上で、適切なリスク認識に基づいた個別の対応を進める必要があります。

サイバー攻撃のリスク

 →(対応方法)情報漏えいやBCPが機能しなくなる等、企業の存続可能性を左右しかねないため、適切な経営資源の配分を行う必要があります。

クラウドサービスに係るリスク

 →(対応方法)情報漏えいを防ぐため、クラウドサービスの水準の確認や、アクセス権管理を徹底する事を通じた対応が必要となります。

リモート会議ツールに係るリスク

 →(対応方法)意図しない者の参加や脆弱性放置による情報漏えいを防ぐため、パスワード設定や適切なツール選択を行う必要があります。

Bring Your Own Device(BYOD)導入に係るリスク

 →(対応方法)個人端末であるがために私的利用時のマルウェア感染等による情報漏えいが想定されることから、リモートデスクトップやMDM、ウィルス対策ソフトの導入が考えられます。

リモートワークPC固有のリスク

 →(対応方法)オフィス内の作業環境では低かったリスクの高まりに対応するため、セキュリティ・ポリシーの周知やVDI環境の導入等が有効です。

サイバー攻撃への対応におけるリスクを考慮していますか

リモートワーク拡大による電子データの受渡しの増加に伴い、保有する電子データは増大しています。一方で、サイバー攻撃は日進月歩で高度化されており、従来の対策だけでは情報セキュリティを維持することが難しいケースも増加しており、多くの企業で十分な対策が取れているとはいい難い状況にあります。対策が進まない原因の1つとして、サイバーセキュリティに対して経営者によるリーダーシップが十分に発揮されていないことが挙げられます。

サイバー攻撃は、情報漏えいやBCPが機能しなくなる等の状況を招く恐れがあり、迅速かつ適切な対応を行わなければ、企業の存続可能性を左右しかねない脅威です。このことから、サイバーセキュリティに関する投資は企業経営上必要不可欠であり、経営者の責務ともいえます。サイバーセキュリティを経営上のリスクの1つとして捉え、経営者自らがリーダーシップを発揮し、適切な経営資源の配分を行う必要があります。

クラウドサービスを利用した電子データの受渡しにおけるリスクを考慮していますか

リモートワーク拡大により企業外部(例えば、監査人と被監査会社)との間で、電子データの受渡しの頻度が増加しています。電子メールに暗号化した電子データを添付する形でのデータの授受は、メールの盗聴や誤送信などのセキュリティ上の問題が指摘されるケースがあること、目的によって大容量のデータを授受する必要があることなどを理由として、クラウドサービス等の外部委託先を利用した電子データの授受を行う例が増加しています。他方で、適切なクラウドサービスが選定されない、適切に利用されないことにより、別のセキュリティ上のリスクも発生します。そのリスクの例と考えられる対応例は次の通りです。

【リスク例】

  • クラウド事業者や他のユーザの管理不備、仕様によって障害や情報漏洩が引き起こされるリスク
  • 海外データセンターにサーバが設置されている場合、現地の法規制の影響を受けるリスク
  • クラウドサービスにログインするためのIDとパスワードが流出し、不正アクセスされるリスク

【考えられる対応例】

  • クラウドサービス選定にあたり、上記リスクに十分対応できているか考慮する。
  • クラウドサービス業者選定後も、その運用状況に問題が発生していないかモニタリングする。

デロイト トーマツでは、上記のようなクラウドリスクをアセスメントするサービスを提供しており、包括的にクラウドサービスを利用する場合のリスクを可視化し、リスクに配慮した導入を進めることが可能です。

クラウド活用に向けたリスク管理のアドバイザリーサービス

 

またセキュアな環境の例として、デロイト トーマツでは、DeloitteConnectを利用して、被監査会社と監査チーム間においてデータの受渡しを実施しております。

図表1 DeloitteConnectの画面イメージ

DeloitteConnectの画面イメージ
※画像をクリックすると拡大表示します

被監査会社・監査人とも、相手先が利用しているサービスを利用する場合は、上記の対応状況について確認することが重要です。

上記のリスクや対応策は、電子データを受け渡す目的以外のクラウドサービスにも当てはまります。

リモート会議ツール特有のリスクを考慮していますか

リモートワーク拡大により、社内外のコミュニケーションにおいてリモート会議ツール利用が一般化されています。一方で、リモート会議ツール自体の脆弱性や誤った利用によって、業務における重要な情報の流出、サイバー攻撃につながるリスクも指摘されています。このため、利用者においては、リモート会議ツールを利用する場合には、以下のリスクを考慮し、対応策を検討する必要があります。

【リスク例】

  • 意図しない者が会議に参加することにより、会議進行の妨害、機密情報が漏えいするリスク
  • 通信経路において会議データが暗号化されていないことによる盗聴、改ざんのリスク
  • リモート会議ツールの脆弱性が放置されることによる情報漏えいのリスク

【考えられる対応方法】

  • パスワードやインビテーションの送付誤りが起こり難い通知方法を運用する。
  • リモート会議ツールの暗号化が一定以上の水準で提供されているサービスを利用する。
  • 会議終了後の会議録音・録画データ、共有資料、チャット等の会議データを適切に削除する。

Bring Your Own Device(BYOD)の導入時には、情報セキュリティ・リスクを考慮していますか

リモートワーク拡大をはじめとしたデジタライゼーションの推進には多額の投資が必要となるケースが多く、生産性の改善だけを目的とした場合には、投資額に見合った効果が得られないことも考えられます。このような投資コストを削減するために、私物のPC、スマートフォン等から会社のシステムにアクセスするBYODの検討を進める会社が増えてきています。一方で、BYODの利用には情報セキュリティ・リスクが付き纏うことから、これらのリスクをコントロールするために、BYOD利用の範囲を決める必要があります。

【リスク例】

  • 個人端末であることから機能の制限が難しいことから生じる情報漏えいのリスク
  • 業務に関係ないサイトの閲覧等によりBYOD端末がマルウェアに感染するリスク
  • プライベートな外出先での個人端末の紛失・盗難等に伴う情報漏えいリスク

【考えられる対応方法】

  • BYODの適切な運用方法のルール策定を行う。
  • MDM(Mobile Device Management)を導入する。
  • 企業側でウィルス対策ソフトの指定、購入を行い、個人端末へのインストールを義務化する。

リモートワークのPC等の環境は、情報セキュリティ・リスクを考慮していますか

リモートワークの拡大により、在宅での勤務機会が増えてきています。このような在宅業務の拡大により、オフィス内の作業環境では低かった情報セキュリティ・リスクが顕在化する可能性が高まっています。サイバー攻撃は日進月歩で高度化しており、リモートワーク関連の機器やアプリケーションの脆弱性を悪用した攻撃も増えています。

リモートワークには複数の方式(システム構成方式)があるため、どの方式を採用するかで、発生するリスクやその程度も異なりますが、一方で導入コストも検討する必要があります。

そのリスクの内容と考えられる対応方法は次の通りです。

【リスク例】

  • VPN機器やリモートデスクトップアプリケーションの脆弱性の悪用による、ID・パスワードの流出、不正アクセスやマルウェアに感染するリスク
  • 自宅やサテライトオフィス等での勤務下において、ショルダーハックなどによって、家族を含む、業務に関係しない第三者に画面を閲覧されるリスク
  • 不適切な公衆wi-fiの利用により通信が傍受されるリスク

【考えられる対応方法】

  • 従来型の個別の対策から、リモートワークに当たって生じる環境変化を踏まえた対応策の実施
  • 経営者トップダウンによるセキュリティ・ポリシーの策定・見直し、従業員への周知
  • 上記に必要な組織・人材の育成、予算の確保

 

デロイト トーマツでは、サイバーセキュリティの強化に向けた各種取り組みに関するリスクアドバイザリーサービスを提供しています。

近年、特にマルウェアの中でもランサムウェアの被害が拡大しており、暗号化でPC・システムが利用できなくなり、業務停止に陥るような重大な被害も発生していることから、早急な対応が望まれます。

図表2 デロイト トーマツのサイバーセキュリティアドバイザリーサービス例

デロイト トーマツのサイバーセキュリティアドバイザリーサービス例
※画像をクリックすると拡大表示します

今後の展望

当初は一時的と考えられた、コロナ対応が長期化する中で、リモートワークのビジネスにおける位置づけは変わってきていると考えられます。緊急避難的に在宅で業務を行うのではなく、リモートワークに伴うセキュリティ・リスクを適切にコントロールしつつ、業務をデジタル化することにより、生産性の向上といった効果も期待できることを認識し、抜本的な業務改革の筋道を描く会社も出てきています。従来、営業部門などいわゆるフロント部門に比して遅れがちであった管理部門のデジタル化が急速に進んでくることも想定されます。

ウィズ・コロナの時代においては、リモートワークの活用業務のデジタル化、ペーパレス化の推進は、不可逆的、かつ加速度的に進展すると想定されますが、それは、セキュリティ・リスクの管理と環境変化を踏まえたデジタル内部統制の構築を伴うものである必要があります。 

デロイト トーマツでは、セキュリティ対策のリスクアドバイザリーサービスのほか、リモートワークやペーパレス化の推進を通じた業務プロセスの抜本的な見直しを通じたデジタル内部統制の構築支援のリスクアドバイザリーサービスを提供しています

本記事に関してのより詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。

≫ お問合せフォーム ≪

お役に立ちましたか?