情シス奮闘記 中小企業編
第5回テーマ 「働き方改革」
2017年6月
誰もがどこでも働けるようになると、セキュリティリスクも高まる?
国を挙げて進む「働き方改革」。重要な鍵を握るのは、従業員が会社だけでなく様々な場所で働けるようにする環境づくりだ。だが、そのためには十分なセキュリティ対策も必要になる。働き方改革とセキュリティを両天秤にかけながら、情シス担当の中村和人は今日も悩む。
「働き方改革」はIT担当の仕事なの?
昼休みのデスクで、珍しく中村和人が新聞を読んでいる。最近はネットニュースをチェックするだけで、めったに新聞を読まなくなった。しかし一面の大きな見出しが目を引いたのだ。「政府、働き方改革に本腰」。ん?働き方改革って言葉はよく聞くけど、詳しいことは?
「政府肝煎りで進める、一億総活躍社会の実現に向けた改革ですよね。出産とか子育てとか、介護とかいろいろ大変なとき、プライベートと仕事をどう両立させるかって大切ですよね。働き方改革は、女性も男性も、高齢者も若者も一人ひとりのニーズにあった、納得のいく働き方を実現するってことじゃないかしら」
いつの間にか、中村の背後に加藤彩が立っている。
「納得のいく働き方って、つまりどういうこと?」
「まずはうちのような会社の場合、残業時間を減らそうっていうことだと思いますよ。月間100時間未満という具体的な数字も上がっていますね」
「効率よく働くことで生産性も上げようということだね」
「そのためには時間と場所を越えて、いつでもどこでも仕事ができるような環境を整える必要がありますね。そこに我が社のIT担当の中村さんの出番があるってわけ」
「ハア……、僕がやるのか」
安心・安全、効率的なモバイルワークの実現
働き方改革がいきなり自分の担当と、しかも加藤に言われて、中村は驚いた。確かに、ITで効率だけよくなってもそのぶん仕事が増えて、残業や休日出勤が当たり前になってしまっては元も子もない。IT活用でワークライフバランスを実現する。そのためには、会社にいなくても、仕事ができる環境がまず必要なのだ。
「モバイルワークの実現が、働き方改革の鍵になるのかぁ」
実際、アミダ社の営業部門では、ノートPCを外に持ち出して外出先で仕事をする人も少なくない。サーバの設定で会社宛のメールアドレスに届いたメールは、ノートPCでも受発信できるように設定している。
「最近、外出先でノートPCを使ってメールを見たりするビジネスパーソンも増えているね」
「そうなんですね。中村さんが自席以外で仕事をする様子をちょっと想像してみました……。空いた時間に仕事ができると時間を有効活用できてる感じがしますね」と加藤は返す。
かつてはメールを読んだり、書類を作るためだけに、遅い時間に出先から会社に戻ったり、ときには休日出勤する社員もいた。それがノートPCやスマートデバイスの普及で、そういうムダはなくなった。
ただ、問題がすべて解決したわけではない。持ち出したノートPCなどのセキュリティ対策が新たな課題になっているのだ。
「実際、ノートPCを飲み屋に置き忘れた社員もいましたしね。この前、カフェでノートPCを使っていたら、隣に座っていた見知らぬ人が覗き見していてヒヤっとしたって話も聞きましたよ」と加藤。
「そうなんだよ。確かに社員がどこでも仕事ができるのはいいことなんだけれど、同時にセキュリティリスクも高まるわけだよね。どうしたらいいかなあ」
と二人は、ノートPCのモバイル利用にあたっての、セキュリティ対策について検討を始めることにした。
持ち出しノートPCによくあるセキュリティリスク
中村と加藤はノートPCを持ち出したときの情報漏えいリスクについて洗い出してみることにした。
まず多いのは、
- ノートPCを外出先へ置き忘れ
というリスクだ。JNSA(日本ネットワークセキュリティ協会)の調査報告書には個人情報漏えい事件のうち、最も多いのは依然として「紛失・置き忘れ」(243件、30.4%、2015年)だとある。 - フリーWi-Fiを利用して盗聴された
という事例も少なくないようだ。カフェ、ホテル、新幹線などのフリーWi-Fiを利用して、データを盗聴されたり、ノートPCに侵入されたりする場合があると聞いている。 - 後ろから画面を見えられてしまう
これは加藤の話にもあった、社員が経験したことだ。他にも、会社のノートPCを家に持ち帰ったら、子供が勝手に操作して情報が漏えいしたというケースもあるようだ。こうした具体的なケースを想定しながら、基本的な対策を取る必要がある。
「でも、どこから手をつけたらいいでしょうか」
こういうときいつも助けてくれるのが、友人でITエンジニアの海田大輔だ。早速、その晩、彼を居酒屋に呼んで話を聞いた。
「そもそも、中村の会社では、ノートPCの持ち出しルールってどうなっているの?」と海田は聞いてくる。
「特に明文化した規定はないんだけど、ノートPCを社外に持ち出してもいいのは営業部門だけ。それ以外はNGと慣例的にはなっているね」
「そのあたりはきちんとしたルールを作ったほうがいいよ。そもそも今回の話は、働き方改革のためにモバイルをもっと活用しようということが前提になっているんだろ。だったら営業部門以外にもノートPCの持ち出しを認めて、そのかわり、セキュリティを強化した方がいいんじゃないか」
その指摘はもっともである。中村は海田との話をベースにして、以下のように相談しながら、ノートPCのセキュリティ対策を別枠1のようにまとめた。
対策にはセキュリティソリューションを導入する案も含まれている。一定のコストがかかるが、中村は検討課題(今回のポイント参照)を列挙した企画書を作って、江窪社長の承認を待っているところだ。
「お金にシビアな社長だから、またなんか文句言ってくるかもね」
と中村が言うと、
「でも、これで安全なモバイル活用が進めば、情報漏えい事件の危険性も減りますね。万一、事故が起こったときの対策費用に比べれば安いものですよ。しかも残業代だって減るわけですよね。そこは社長も嬉しいんじゃないかしら」
と加藤はにやりと笑った。
「これで仕事が効率化したら、私たちの会社もプレミアムフライデー実施が夢じゃなくなりますね」
月末の金曜日、定時前に退社して、ビヤガーデンで一杯というのも悪くないな、と想像する中村だった。
モバイル活用にあたってのセキュリティ強化対策
1. ノートPCの持ち出しにあたっての社内基準を明確に
働き方改革に寄与するため、ノートPCの社外利用を部門にかかわらず認めることにした。ただし「全員その都度、事前申請すること」と規則を改めた。申請はイントラネット上で簡単に行えるが、上長の承認がないと持ち出してはいけないことにした。「面倒だな」という営業職からのクレームにめけず、これを貫くことにした。誰のノートPCがどこに持ち出されているかを常時把握しておきたかったし、何より申請・承認という手続きを経ることで、一人ひとりに自覚をもってもらいたかったのだ。
2. ノートPCの暗号化およびパスワード設定
ノートPCが盗まれても情報漏えいしないように、パスワードを設定しておく。これは余りにも当たり前で、アミダ社でもすでに実践済みだ。ただ、ログインパスワードを設定していれば安心ということはない。ノートPC内のハードディスクを抜き取り、USB変換アダプタなどを使って外付けハードディスクとして接続すると、ファイルは簡単に見れてしまうという。そのため、ハードディスク全体を暗号化しておくことにした。
3. パーソナルファイアウォール(※)のインストール
フリーWi-Fiに接続したときに、盗聴、侵入されないように、パーソナルファイアウォールをインストールしておくことが重要だ。「OS標準のファイアウォールでもいいけれど、市販のセキュリティソフトについているファイアウォール機能を使ったほうがより安全だよ」と、海田はアドバイスしてくれた。
(※)コンピュータと外部ネットワークの通信を制御するアプリケーション
4 OSやアプリケーションのセキュリティパッチの適用
これもごく常識的なことだが、社員全員がきちんと履行できているかどうかは、中村も心許ないところがある。特にノートPCを外出先で使っていると、Wi-Fi回線でセキュリティパッチを実行するのは時間もかかるし面倒だ。で、ついアラートを無視してしまい、そのままにしてしまう傾向がたしかにある。デスクトップPCも含めて全社のPCのパッチ適用状況が一目でわかるように、中村はシステムを改善することにした。
5. モバイル端末管理ソリューションの導入検討
しかしながら、ノートPCなどモバイル端末の管理を、中村一人でやるのは、たしかに大変な作業である。そこで、検討し始めたのが、ノートPC、スマートフォン、タブレット端末などを一元的に管理できるソリューションの導入だ。モバイルデバイス管理(MDM:Mobile Device Management)と呼ばれるもので、多くのITベンダーが提供している。中にはデスクトップの仮想化技術で、ノートPCの安全性を確保するソリューションもある。中村は、当面はノートPC向けを考えるが、いずれはスマートフォンの管理にも使いたいので、総合的なソリューションが必要だと考えている。
今回のポイント
モバイル端末管理ソリューションの導入にあたって、中村が検討課題に挙げたポイント
- セキュリティ対策やIT資産管理が簡単にできるように、クラウド型のソリューションを検討すべし
- 端末が盗難・紛失にあった場合、リモートでロックをかけたり、データを消去することができる
- 会社が管理していない個人の端末が、会社のネットワークに接続することを防ぐことができる
- Windows、iPhone、Androidなどのマルチデバイスに対応している
- USBメモリなど外部記録媒体の利用を制御できる
- できれば操作ログをネットワーク経由で取得することで、不正行為の早期発見ができる
登場人物
- アミダ社:社員50人あまりの機械部品製造業。関東に本社・部品工場。中国に提携する下請けメーカーがある
- 中村 和人:総務部所属。情シスを1人で取り仕切っている。入社11年目
- 江窪 満:アミダ社の社長。2代目だからか、どこかのんびりしているところがある
- 仙道 淳:営業職の社内ユーザー。トラブルをよく起こす社員
- 海田 大輔:外部のシステム会社のSE。中村の友人
- 加藤 彩:総務部の女性社員。陰ながら中村をサポートしている
- 早田 昌司:入社4年目。生産部門と情報部門を兼任しながら、情報セキュリティ専門家への一歩を踏み出す
*文中の氏名・社名はいずれも実在するものではありません
情シス奮闘記 中小企業編
- 第1回 テーマ「セキュリティ教育」
- 第2回 テーマ「サイバー攻撃」
- 第3回 テーマ「SNS利用編」
- 第4回 テーマ「改正個人情報保護法」
- 第5回 テーマ「働き方改革」
- 第6回 テーマ「ランサムウェア」
- 第7回 テーマ「シャドーIT」
- 第8回 テーマ「BYOD」
- 第9回 テーマ「IT資産管理」
- 第10回 テーマ「顔認証」(前編)
- 第11回 テーマ「顔認証」(後編)
- 第12回 テーマ「IoT」(前編)
- 第13回 テーマ「IoT」(後編)
- 第14回 テーマ「サイバーセキュリティ経営ガイドライン改訂」
- 第15回 テーマ「企業間データ提携」
- 第16回 テーマ「セキュリティ人材育成」
- 第17回 テーマ「OS移行(Windows 10)」
- 第18回 テーマ「ビジネスメール詐欺」
- 第19回 テーマ「Webサービスからの個人情報窃取」
- 第20回 テーマ「内部不正」
- 第21回 テーマ「無線LAN」
- 第22回 テーマ「メール誤送信」