テレワーク導入組織のうち、テレワークを「全社的に導入」しているのは60%、「大多数が導入」は23.9%、「一部部署のみ導入」が16.1%となり、テレワークが広く浸透していると表現。テレワーク導入組織のテレワーク継続意向は「導入継続予定」が75.4%、「導入継続見込みだが未定」が24.6%とテレワーク継続意向は100%という結果になり、すでにテレワークを導入している組織では、テレワークは恒久的に運用していくことが見込まれるとしている。
テレワーク環境では、社内ネットワークや社内ファイルサーバーへの接続が必要だが、仮想私設通信網(VPN)やリモートデスクトップなどが多く利用されている。オフィスから持ち出すPCの管理など社内ルールは約9割が「徹底」となっているが、社内ネットワークや社内ファイルサーバーへの接続やセキュリティ対策について、およそ半数が「十分ではない」と回答している。
テレワーク時のセキュリティ対策で重視する領域の上位は、端末やサーバー環境、従業員のセキュリティ教育、ルール作りなどで、おおむね「対策済み」となっている。エンドポイント対策としても主要な対策はおおむね5割以上の組織で網羅されており、重視する領域はアンチウイルスや個人情報(ファイル)、メールなどとなっている。
セキュリティ対策として注目される、すべて信頼しないという考え方からセキュリティ対策を行う「ゼロトラスト」、ウェブセキュリティ管理機能を統合したクラウドサービス「セキュアウェブゲートウェイ(SWG)」、ネットワークセキュリティ機能とWAN機能の両方を提供する「SASE(Secure Access Service Edge、サシー)」の検討状況を調査したところ、どれも7割以上が検討とセキュリティ対策への関心が高いことが明らかになっている。
ゼロトラストについては、全体の7割以上がゼロトラストに基づき対策を検討。SWGも8割以上が検討しており、5000人以上の組織では57.9%と半数以上がSWGを導入済みであることが表面化。最新のセキュリティフレームワークの一つであるSASEも7割以上が検討している。
ただ一方で、従業員数199人以下の中小企業のうち約5割はゼロトラストやSASEについて「意識していない」「わからない」としており、認知や理解が進んでいないことが明らかになっている。
今回の調査結果より、テレワーク導入組織が2020年に経験したインシデントはウェブアクセスとメールに起因する外部攻撃であり、組織規模に関係なくインシデントに遭遇していることが分かっている。これらの組織はセキュリティ対策を重要課題と位置付け、ゼロトラストなど従来の境界型に依存しないセキュリティモデルの対策も重視するなど決して対策を疎かにしているわけではないと説明する。
ただし、多くの組織が重要視するのは、従業員の持ち出し端末やセキュリティルールの構築、従業員のセキュリティ教育といった人的資源の対策の優先度が高いのも事実としている。
メールやウェブアクセスに起因するインシデントがほとんどであるのに対して、これらの対策よりも端末や人的資源の対策が優先される理由は、サイバー攻撃が巧妙化したことでシステムによる入口対策が困難とされ、侵入された際の内部対策や出口対策が重視されるようになったためと考えられると表現。しかし、今回判明したように、侵入経路は依然としてウェブアクセスとメールがほとんどと説明している。
今回調査したテレワーク導入組織では、セキュリティの脅威を認識しつつもテレワークを前向きに継続していく姿勢が見えると説明。アフターコロナの日本では、テレワークを基本の働き方とするなど今後の働き方はさらに多様化すると指摘している。
働き方が多様化する中で端末管理や従業員のモラルといった人的資源の対策だけでは限界があり、多くのインシデントの原因となっているウェブアクセスとメールを使った主要な攻撃手法にあわせた入口対策を実施していくことが改めて重要になると提言している。