読者の皆さんがこの記事をどこで読んでいるとしても、従来型オフィスのデスクではない可能性はかなり高い。
在宅勤務中や、コーヒーショップなどの場所で仕事をしながら読んでいるかもしれないし、会議の合間にスマートフォンで読んでいるかもしれない。会社のオフィスで読んでいるかもしれないが、そうだとしても、毎日通勤している人は少ないだろう。
なぜなら、ハイブリッドワークの普及により、多くの人の働き方と勤務場所が根本的に変わったからだ。
このリモートワークへの移行は従業員にメリットをもたらし、以前のように渋滞のせいで何時間もかけて通勤する必要がなくなったほか、混雑した公共交通機関を利用する必要がなくなった。また、オフィスへの通勤がなくなったことで浮いた時間を利用して、他の日常的なタスクを処理したり、息抜きの時間を増やしたり、夕方に愛する人と一緒に時間を過ごしたりできるようになった。とはいえ、多くのケースで実際には勤務時間も長くなっている。
リモートワークやハイブリッドワークのメリットは、従業員に大いに歓迎されてきた。Forresterによると、リモートワーカーの68%は在宅勤務をもっと増やしたいと回答しているという。
だが、ハイブリッドワークの普及はメリットをもたらした一方で、問題も生み出した。その1つが、従業員とネットワークをサイバー攻撃から保護するのが以前に増して難しくなったことだ。
従業員のセキュリティをリモートから管理するのは困難
なぜなら、以前は従業員が会社のPCを使って、物理的なオフィススペース内で、オフィスネットワーク上で作業をしていたのに対し、現在はどこからでも、事実上あらゆるデバイスを使って仕事をすることができるため、企業のシステムとデータの保護が格段に複雑な課題になっているからだ。
「セキュリティの観点から、一層複雑さが増した」。グローバル経営コンサルティング会社のBooz Allenでシニアバイスプレジデント兼ナショナル・サイバー・ディフェンス・ビジネス担当リードを務めるKelly Rozumalski氏はこのように語る。
「サイバー担当者は今もリモートワークへの移行に対処しているところだ」と同氏は説明する。「保護すべき攻撃対象領域が拡大したが、これは使用されるテクノロジーが大幅に増えたためで、その原因は新型コロナウイルス感染症によって誰もがごく短期間のうちにデジタルトランスフォーメーションへの移行を強いられたことにある。こうして攻撃対象領域が広がった」
パンデミック下で突然、働き方の変革が必要になったため、無理もないことだが、サイバーセキュリティは後回しにされ、一部のケースでは未だに追いついていない。在宅勤務に従業員個人のノートPCが使用される場合があり、会社支給のデバイスを使用する場合でも、それを使うのは自宅のネットワークからだ。これが組織のサイバーセキュリティリスクになる可能性がある。
というのも、効果的なサイバーセキュリティ戦略を定めていない限り、デバイスを最新のセキュリティパッチによって最新の状態に保ち、サイバーセキュリティ脆弱性を修正するのは困難で、個人のデバイスの場合は特に難しいからだ。デバイスが更新されているかどうか、あるいは何がインストールされているのか、といった基本的なことを確認するのさえ難しい場合がある。
そして、これは問題の入口にすぎない。
「課題が急激に増加し、攻撃対象領域が爆発的に拡大している」とサイバーセキュリティ企業Trend MicroのテクニカルディレクターであるBharat Mistry氏は述べた。
「以前は会社のマシンが会社の敷地内にあり、ほぼ毎日、物理的に見て触って管理することができた。現在のモデルはその逆で、こうした資産の多くが会社の外にある」(Mistry氏)
新たなリスクが増大
従業員は職務を遂行したいと思っている。自分の仕事をして生産性を高めたいと考えている。しかし、ソフトウェアを利用するために会社の正規の手続き(定められている場合)を踏むのは、時間と手間がかかる場合がある。そのことが原因で、ソフトウェアを自分のデバイスにダウンロードしてしまうかもしれない。ダウンロードされるのは、仕事中に音楽を聴くための音楽サービスや、ファイルの保存と転送を支援するクラウドストレージアプリケーションなど、さまざまだ。
だが、このダウンロードプロセスを適切に管理しないと、問題につながるおそれがある。サイバー犯罪者がユーザーをだまして、人気アプリケーションのクラックバージョンや偽バージョンにマルウェアを組み込んでダウンロードさせることが考えられるからだ。これが会社のデバイスにダウンロードされて実行されると、ネットワーク全体で問題が発生する可能性がある。
非正規ソフトウェアをダウンロードしてしまうのが、従業員自身ではないということもあり得る。多くの子どもが親や保護者のノートPCにアクセスして、学校の勉強、動画視聴、ゲームプレイに使っている。
デバイスを監視しないと、または安全なパスワードでロックしないと、子どもが悪意あるソフトウェアをうっかりマシンにダウンロードしてしまい、企業のファイルや、クラウドアプリケーションのユーザー名とパスワードなどへのアクセスを攻撃者に与えることになりかねない。
もちろん、フィッシングメールもある。サイバー攻撃者は、リモートワークをする従業員が増えていることや、日常の多くのコミュニケーションに電子メールが利用されていることを把握しているため、ITチーム、人事部門、財務部門などのオフィス部門を装った電子メールで、問題が発生したのでアカウントにログインするように促す。
