2020年11月17日、平井卓也デジタル改革担当相は記者会見で「内閣府、内閣官房にでは、26日よりパスワード付きzipファイルの送信ルールを廃止する」と発表しました。この発表は、日本国内に衝撃を与え、ネット上でも大きな反響を呼びました。

では、なぜパスワード付きzipファイルの送受信がだめなのでしょうか？また、パスワード付きzipファイルの送受信に代わる方法にはどんなものがあるのでしょうか？この記事では、パスワード付きzipファイル送受信の問題点と代替方法について解説します。

パスワード付きzipファイルの運用は、ファイル共有におけるセキュリティリスクを低減させる方法として、日本国内では長らく認識されていました。しかし一方で、多くの専門家は「パスワード付きzipファイルの運用はセキュリティリスクの低減にはつながらない」と警鐘を鳴らし、遂には政府内から廃止に言及されました。

では、なぜパスワード付きzipファイルの運用は、日本の組織から無くならないのでしょうか？主な理由として、2つあります。

• PマークやISMSに準拠するよう、パスワードzipファイルの運用を社内ルールで規定している
• ビジネス上の「常識」として定着しており、特に疑問もなく運用している

個人情報保護規格の「プライバシーマーク」や情報資産のセキュリティ管理規格の「ISMS」の認証では、審査機関による審査を受け、認証される流れとなっています。この時、「機密情報を含むファイルをメールで送信する時にはパスワードを付与し、別メールでパスワードを送信する」というルールを規定しておかないと、審査に通らないのが現状です。このため、社内規定に記載し、それに準じて運用されています。

このため、パスワード付きzipファイルの送受信は安全にファイルを共有するための「常識」となっているため、特に何の疑問もなく運用されているのが実情です。また、それ以外の方法でのファイル授受に抵抗感があることも挙げられます。

パスワード付きzipファイル送受信の問題点

では、なぜパスワード付きzipファイルの送受信は、なぜ、問題なのでしょうか？それは、主に3つの問題点があるからです。

パスワード付きzipファイルのパスワードは、セキュリティを担保しない

1つめの問題点は「zipファイルのパスワードは、セキュリティを担保しない」点です。そもそもzipファイルはセキュリティ確保を目的に作られていません。

このことを表す1つの例が「Windowsでのzipファイルの操作」です。Windows上でパスワード付きzipファイルをダブルクリックすると、ディレクトリ構造やファイル名を確認することができます。

また、パスワード付きzipファイルに付与されているパスワードは文字数字の組み合わせ（特殊文字を含む）のため、システムでパスワードを総当たりで入力すれば解除することができます。例えば、zipファイルのパスワード解析ソフト「Lhaplus」には、総当たりでパスワードを探索する機能があります。

これらのことからも、パスワード付きzipファイルはセキュリティを担保していないことが分かります。

<h3>パスワード送信メールが盗聴されてしまう</h3>

2つめの問題点は「パスワード送信メールが盗聴されてしまう」点です。

パスワード付きzipファイルの運用は、1通目にパスワード付きzipファイル送信後、パスワードを2通目に送ります。しかし、メールが平文のため、パスワードを第三者に盗聴されてしまう可能性があります。このため、盗聴者が1通目のパスワード付きzipファイルの受信後、2通目を受信されると、前のパスワード付きzipファイルを解読されてしまいます。

パスワード付きzipファイルはマルウェア攻撃の温床になる

3つめの問題点は「パスワード付きzipファイルはマルウェア攻撃の温床になる」点です。むしろ、こちらの方が深刻な影響を与えます。

2019年11月頃から「Emotet（エモテット）」というマルウェア（コンピュータに不正かつ被害を与える悪意のあるソフトウェア）がメディアで取り上げられるようになりました。これは、「パスワード付きzipファイルはセキュリティソフトを通過できる」という特性を狙ったものです。過去にやり取りを行ったことがあるメールの一部が悪用され、正規のメールの返信を装って相手に送信されます。そして、受信した相手が添付ファイルの編集を有効化した時、悪意あるマクロが起動します。

図1：Emotetによる攻撃メールの例

引用元：https://www.ipa.go.jp/security/announce/20191202.html

図2：添付メールを開いた時の画面の例

引用元：https://www.ipa.go.jp/security/announce/20191202.html

2020月2月7日、JPCERTコーディネーションセンターは「日本国内におけるEmotetの被害が3,200組織に上る」ことを発表しました。このため、パスワード付きzipファイルの授受は、組織のコンピュータに深刻な被害をもたらす可能性があります。

パスワード付きzipファイル運用に代わってクラウドストレージの活用を

とはいえ、ファイルをそのままメールに添付して送るのは、セキュリティ面でリスクがあります。また、誤送信の場合、情報が漏洩する可能性は否定できません。このため、パスワード付きzipファイル運用に代わる方法が必要です。平井大臣は記者会見で、代替方法として「クラウドストレージの活用」を挙げています。

<h3>クラウドストレージ運用への移行方法</h3>

今すぐクラウドストレージへの全面移行に組織内に不安を感じる方もいるかもしれません。組織内の不安を払拭するためにも、まずは社内のセキュリティポリシーの整備から始めましょう。以下に、クラウドストレージへの段階的な移行方法を掲載します。

図3：クラウドストレージへの段階的移行方法

<h3>クラウドストレージが有効なセキュリティ対策になり得る理由</h3>

では、なぜクラウドストレージへの移行がパスワード付きzipファイル運用に代わり、有効なセキュリティ対策になり得るのでしょうか？

一番の理由は「ファイル共有で、パスワード付きzipファイルの授受を無くすことができる」からです。クラウドストレージを利用すると、パスワード付きzipファイル運用で発生するセキュリティリスクに、以下のように対応できます。

<h2>まとめ</h2>

この記事では、パスワード付きzipファイル送受信の問題点と代替方法について解説しましたが、いかがでしたか？

パスワード付きzipファイルによる送受信は、長年、ビジネス上のマナーとして定着しました。しかし、その運用にはセキュリティ上のリスクがあります。平井大臣の内閣府でのパスワード付きzipファイルの運用廃止発表をきっかけに、今後はファイル授受方法が変わる可能性があります。

その代替方法がクラウドストレージの活用です。クラウドストレージを活用することで、安全にファイル授受を行うことができます。

今回の平井大臣の発表をきっかけに、パスワード付きzipファイルの運用の代わりにクラウドストレージの活用を検討してはいかがでしょう。

■目次

1)テレワークセキュリティガイドラインで警告されている課題とは

2)システム管理者・テレワーク勤務者が対策すべきセキュリティ対策

3)テレワークにクラウドストレージを採用すべき理由

4)クラウドストレージ比較

5)まとめ

記事概要

テレワーク環境での情報の共有やファイルの受け渡しの際、セキュリティ事故が発生することがあります。そのためシステム管理者・テレワーク勤務者は、それぞれの立場でテレワークセキュリティ対策を実施する必要があります。

この記事では総務省のテレワークセキュリティガイドライン第4版をもとに、課題・対策をまとめました。記事を読んで、自社に合ったテレワーク方式を検討しましょう。

1)テレワークセキュリティガイドラインで警告されている課題

「情報資産」は、企業で管理する紙文書、電子データ、情報システムを指します。

情報資産にはクライアント先の情報や自社情報など重要な情報が多く含み、オフィス内での管理が外れるテレワーク環境で脅威にさらされやすいです。

●情報資産がさらされやすい脅威

・マルウェア（ウイルス・ワームなど）

・端末の紛失・盗難

・重要情報の盗聴

・不正アクセス

そのためテレワーク環境でのさらされやすい脅威を正しく認識し、対策を講じる必要があります。

2)システム管理者・テレワーク勤務者が対策すべきセキュリティ対策

システム管理者とテレワーク勤務者が対策すべきセキュリティ対策を項目ごとにまとめました。

●情報セキュリティ保全対策の大枠

（システム管理者）

・システム管理者は情報セキュリティポリシーに従って、テレワークの技術的対策や教育を実施し監査をする。また経営者がルールを決める際に必要な情報を提供する。

・社内の情報資産を「機密情報」「業務情報」「公開情報」の3つに分類し、公開情報の取り扱い方を定める。（印刷可否や暗号の要否など）

・ テレワーク勤務者に対して情報セキュリティ教育を定期的に実施する。

・ 情報セキュリティ事故の発生時に備え、連絡体制をつくり、早期発見/早期対応できるように訓練を実施する。

（テレワーク勤務者）

・テレワーク作業中は、利用する情報資産の管理責任を自らが負うことを自覚し、情報セキュリティポリシーに従って、定期的に実施状況を自己点検する。

・テレワークで扱う情報について、定められた情報のレベル分けとレベルに応じたルールに従って取り扱う。

・セキュリティ教育に積極的に取り組むことで、セキュリティに対する認識を高めることに務める。

・セキュリティ事故の発生に備えて、システム管理者に連絡できるよう連絡体制を確認し、事故時に備えた訓練に参加する。

●マルウェアに対する対策

（システム管理者）

・フィルタリング設定をかける。

・サーバ用ウイルス対策ソフトの導入する。

・アプリケーションをインストールする際は、申請するワークフローを作成する。

・ウイルス定義ファイル更新やアップデート対応を一人一人対応すると困難なので、システム管理者が指示のもと、一斉にアップデート対応を実施できるような製品を選択する。

・OS/主要なアプリケーション/ミドルウェアのアップデートを実施する必要があります。

・テレワークに使用する私用端末のセキュリティ対策を確認する。

・ ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する。

・金融機関や物流業者からの事務連絡を装うなどの不審なメールが 迷惑メールとして分類されるよう設定する。

（テレワーク勤務者）

・マルウェア感染を防ぐため、OSやブラウザのアップデートが未実施の状態で社外のウェブサイトにはアクセスしない。

・アプリケーションをインストールする際は、システム管理者にその旨を申請し、許可を受けたアプリケーションのみをインストールする。

・作業開始前に、テレワーク端末にウイルス対策ソフトがインストールされ、最新の定義ファイルが適用されていることを確認する。

・テレワーク端末のOS及びソフトウェアについて、アップデートが適用され最新の状態であることを確認する。

・テレワークにはルールに定められた情報セキュリティ対策が適用されているものを使用し、タブレット等に関しては不正な改造（脱獄、root化等）を施さない。

・テレワーク作業中にマルウェアに感染した場合、迅速に報告を行う。

●端末の紛失・盗難に対する対策

（システム管理者）

・ 台帳等を整備し、貸与するテレワーク端末の所在や利用者等を管理する。

（テレワーク勤務者）

・オフィス外に情報資産を持ち出すとき、その原本は安全な場所に保存し、機密性が求められる電子データを極力管理する必要が無いように業務の方法を工夫する。（やむを得ない場合は必ず暗号化して保存する）

●重要情報の盗聴に対する対策

（システム管理者）

・ テレワーク端末において無線LANの脆弱性対策が適切に講じる。

（テレワーク勤務者）

・機密性が求められる電子データを送信する際には必ず暗号化する。

・無線LAN利用に伴うリスクを理解し、テレワークで利用する場合は確保すべきセキュリティレベルに応じた対策が可能な範囲で利用する。

・第三者と共有する環境で作業を行う場合、端末の画面にプライバシーフィルターを装着したり、作業場所を選ぶ等により、画面の覗き見防止に努める。

●不正アクセスに対する対策

（システム管理者）

・ 社外から社内システムへアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用する。（電子証明書などを併用が望ましい）

・ テレワーク勤務者がインターネット経由で社内システムにアクセスする際のアクセス方法を定める。（ファイアウォールやルータ等を設置、アクセス状況を監視、不必要なアクセスは遮断する）

・ 社内システムへのアクセス用のパスワードとして、強度の低いものを用いることができないように設定する。（パスワード設定に単純なものや短いパスワードを禁止する）

（テレワーク勤務者）

・社外から社内システムにアクセスするための利用者認証情報（パスワード、ICカード等）を適正に管理する。

・インターネット経由で社内システムにアクセスする際、システム管理者が指定したアクセス方法のみを用いる。

・テレワークで使用するパスワードは、使い回しを避け、一定以上の長さで他人に推測されにくいものを用いるように心がける。

●外部サービス利用に対する対策

（システム管理者）

・Facebook、TwitterなどのSNSの利用に関するルールやガイドラインを整備する。

・ファイル共有サービスは、指定したサービスのみを利用するようにルール化しましょう。 ファイルをアップロードする際は、あらかじめファイルを暗号化し、相手のダウンロードが完了したら、ファイルを速やかに削除する。

（テレワーク勤務者）

・メッセージングアプリケーションを含むSNSをテレワークで利用する場合、社内で定められたSNS利用ルールやガイドラインに従って利用するようにする。

・ファイル共有サービス等のパブリッククラウドサービスを利用する場合、社内ルールで認められた範囲で利用する。

3)テレワークにクラウドストレージを採用すべき理由

テレワークを実施する際、クラウドストレージ採用をオススメします。理由は、

メリット1．サーバを自社に設置するより、クラウドストレージ採用の方がコストが低い

メリット2．オフィスにサーバ管理者を配置しなくてすむ

メリット3．セキュリティ対策設備の管理が楽になる

メリット4．クラウドストレージを利用したテレワークは、オフィスのネットワークへの影響が小さい

しかしクラウドストレージを利用することによるデメリットもあります。

デメリット1．社外から社内にアクセスする場合、ファイアウォールに一種の「穴」を設定しなければいけない

デメリット2．インターネットからのアクセスを前提とするものであるため、外部からの攻撃が受けやすい

このデメリットや留意すべき点に対して、対策を講じる必要があります。

対策1．クラウドサービスで利用するパスワードは簡単に推測できないものにする

対策2．パスワードは外部に漏洩することのないように厳格な管理をする

追加対策として、多要素認証、電子証明書の併用、利用者の認証におけるセキュリティ対策の強化が望ましいです。

クラウドストレージの利用も適切な対策を講じ実施すれば、コストを下げ、テレワーク環境を整のえることができます。

4)クラウドストレージ比較

クラウドストレージを提供している企業のサービスを比較し、一部抜粋して下記表にまとめました。

単純にストレージ容量だけ比較するとBOXやDropBoxがいいでしょう。しかしテレワークを実施する上で強固なセキュリティ対策を実施するならば、操作ログ監視・上長承認・暗号化・アクセス権編集などの機能がある点からDirectCloud-BOXがオススメです。

企業ごとに必要な機能や基準が異なるので、優先事項と必要なセキュリティ機能について棚卸しすることをオススメします。

5）まとめ

いかがでしたか？まとめますと、下記4点になります。

・システム管理者は定期的にテレワークセキュリティ対策を検討し、監査し、対策を講じる必要があります

・テレワーク勤務者はシステム管理者の指示のもと、対策を実施し状況を報告するように努める必要があります

・クラウドストレージを利用すると、コストが下がり、テレワーク環境が整うメリットがあります

・一方でデメリットも存在するので、パスワードのルール化や厳格な管理が必須になります

これを機会にクラウドストレージを使ったDX化を検討してみてはいかがでしょうか。

目次

１．はじめに

２．労働環境の変化と新しい働き方

３．シャドウITとは

４．シャドウITとセキュリティリスク

５．クラウドストレージ比較

６．最後に

１．はじめに

　1990年代よりインターネットが世界中に広がり、誰でもパソコンを使う事が当たり前になりました。そして電子メールの利用により遠く離れた人との言葉を交わすことがごく簡単にできるようになりました。現在は高速ブロードバンド通信が一般家庭に広がり、様々なモノがインターネットにつながるようになりました。さらに、iPhoneなどスマートフォンが爆発的に普及する事で、いつでも、どこでもコミュニケーションを取る事ができるようになりました。

２．労働環境の変化と新しい働き方

　社会環境の変化に合わせて、働く環境も大きく変化してきています。電子メールによるビジネスコミュニケーションは当然の事となり、使用するパソコンの種類もオフィスに備え付けのデスクトップ型のパソコンから、持ち運び可能なノートパソコン、またはタブレット端末を使用する事が当たり前になっています。

　そして、政府の重要政策のひとつである、「働き方改革」により、「多様な働き方の実現」が推奨され、これまでの日本型の労働（会社の定めた場所、時間、方法で労働）からの変革が求められている中で、新型コロナウィルス（COVID-19）の感染拡大による政府の緊急事態宣言が発令されました。それにより、これまで限定的な職種だけだったリモートワークを、様々な職種においても可能とする企業が増えてきています。

　一方で、多種多様な働き方や、様々な機器を用いた勤務スタイルに対応した社内システムを自社で整備し、社内向けに提供する事が難しく、多くの企業ではパブリッククラウド上のサービス（SaaS）を活用して、「チャット」、「ファイル共有」、「WEB会議」を利用可能とし、リモートワークやテレワークなどの新しい働き方に対応しています。

・セキュリティリスクの分析とその対策

　これまで多くの企業で発生したセキュリティインシデントを見ると、

　　・外部からの不正侵入による情報改ざん、情報漏洩、

　　・ウィルス感染によるシステム停止、サイバー攻撃

　　・社内業務時の手順ミスによる情報漏洩

　が多く、社外と社内の接点や、社内の仕組みを整備する事で比較的対策しやすい内容ですが、新しい働き方への対応でパブリッククサービスを使用した場合は、自社だけでは対策が取りづらく、サービス利用時の費用面での負担や、シャドウITという新たなセキュリティリスクも顕在化してきています。

３．シャドウITとは

　シャドウITとは2020年になって多く聞くようになった言葉で、企業が管理しているIT機器・サービス以外を使用して業務を行う事を言います。一般的には企業が用意したパソコンやタブレット、スマートフォンを使用して業務を遂行しますが、パブリックサービスを利用した場合、プライベートで使用している機器を用いて企業の情報にアクセスしたり、情報共有する事も可能です。

　これまでは物理的に私有物の持ち込みを禁止したり、接続機器を厳格に制限することで対策を取る事ができましたが、リモートワークなど外部からのシステム利用・業務遂行が日常となった現在では、企業側で対策を取るのが難しいのが現状です。プライベートで使用している使い慣れたIT機器を使用して業務を行うという事は、業務の効率化につながる良い点があるある一方、シャドウITは企業にとって思わぬ場所からセキュリティインシデントが発生するかもしれない脅威のひとつといえます。

（参考）シャドウITとBYOD

プライベートで使用する機器を使用するという意味では、BYOD（Bring Your Own Deviceの略語）という言葉がありますが、シャドウITと違い、事前に機器情報を登録したり、機器内にどのようなソフトウェアが導入されているか等を定期的にチェックするなど、企業側で状況を把握・管理した状態で業務利用することを言います。

４．シャドウITとセキュリティリスク

　シャドウITで一番セキュリティリスクが高いのは、クラウドストレージを利用するシーンです。様々なデータが電子化されているため、自社の機密情報だけでなく、取引相手である顧客の情報も中には含まれることもあるため、新規取引の停止や、損害賠償、企業の信用の失墜など、情報漏洩後の影響はその企業にとって非常に重大な事態を招く可能性が高いと言えます。

　クラウドストレージの使用については、主に２つの状況が想定されます。

　①プライベートで使用するする機器をクラウドストレージに接続し、ファイル閲覧、操作をおこなう

　②会社のIT機器を社員が使用するクラウドストレージに保管し、プライベートのIT機器を用いて、ファイル閲覧、操作を行う。

　シャドウITを想定した場合、企業側が状況を適切にコントロールできないと情報漏洩のリスクが高く、また、逆に管理を厳しくしすぎると利便性を損ない、生産性の低下につながってしまいます。

そのためサービスの選択は慎重に行うべきです。

５．クラウドストレージ比較

　クラウドストレージは数多くのサービスがあります。何を基準に選んだら良いかわからなくなってしまうかもしれません。

それもそのはず、クラウドストレージは利用者の増加が顕著で、2015年度に3,447万人だった個人利用ユーザは、2020年度には5,169万人にまで増加すると言われています。

例えば、利用者の多いサービスとしてはGoogle Drive、Dropbox、Microsoft One Driveがあります（※）

（※ICT総研：2018年クラウドストレージサービス市場動向調査　https://ictr.co.jp/report/20180913.html）

　各サービス様々な特徴がありますが、法人向けにサービスを提供している代表的なサービスの特徴を以下にまとめました。

　<Google Driveの特徴>

　　共有ドライブを使用してファイルを同時編集する事が可能です。

　　ファイル共有時には共有リンク作成時に閲覧者、閲覧者（コメント可）、編集者の権限を設定する事ができます。

　　クラウドストレージのサービスというよりも、法人向けサービス「Google Workspace（旧G Suite）」の中の１つのサービスです。様々な他の機能、ツールと連携可能ですが、クラウドストレージの管理としての機能は必要最小限となっています。

　　料金プランは、「Business Starter」、「Business Standard」、「Business Plus」、「Enterprise」の4種類あり、一番標準的なStandardプランは、1ユーザあたり2TBで月額1,360円です。

　<Dropboxの特徴>

　　共有リンクのパスワード保護、ダウンロードの無効化、有効期限の設定など、クラウドストレージとしてきめ細やかなセキュリティ管理機能を備えています。その他に、管理者用ダッシュボードから、リンク済みのデバイスの確認が可能なため、不審な機器から接続されていた場合に気が付く事ができます。

　　料金プランは、「Standard」、「Advanced」の2種類あり、標準的なStandardプランは、１ユーザあたり5TBで月額1,250円です。

　<Microsoft One Driveの特徴>

　　外部ユーザとのファイル共有、ダウンロード禁止など必要機能を備えています。

OneDriveに特化したプラン(Business Plan1、Plan2)と、Microsoft 365サービスの中の１つのサービスとして提供されるプラン（Business Basic、Business Standard）の2パターンあります。

　　Plan2のみ無制限のストレージ容量となっており、その他は1TBが上限となります。また、Standardプランについては、Microsoft Officeアプリと即連携可能なため、利便性は高いと言えます。

　料金は、Plan2の場合は、1ユーザあたり容量無制限で月額1,090円、Standardプランの場合は、1ユーザあたり1TBで月額1,360円です。

ここまで特に利用者の多い代表的なサービスの機能の特徴を記載いたしました。

どのサービスも利用料金がユーザ数に比例するため、社員数が多ければ多いほど月額料金の負担が気になるのではないでしょうか。また、セキュリティ面での細かな対応（権限設定や、管理者によるログ確認など）については、各サービスそれぞれで網羅されているとは言えないかもしれません。

そこで、もうひとつサービスをご紹介します。

＜DirectCloud-BOXの特徴＞

　2015年にサービスリリースをした新しいサービスとなります。共有リンクの有効期限設定、パスワードの自動発番、自動送信、共同編集、アクセス権限の設定など、ファイル共有に関する主な機能は網羅されています。また、ファイル持ち出し管理機能があり、ファイル共有リンクの作成や他のアプリとの連携機能を制限または禁止することが可能です。

また、「ログイン」、「ファイル操作」、「管理者の操作」など、各種操作のログを全83種類契約期間内全て確認する事ができるため、不審なアクセス、操作を確認する事が可能です。ユーザ管理、ストレージ管理、各種セキュリティ設定など専用メニューで実施できる事、エクセルに設定状況を出力し、確認できるなど、管理者向けのメニューが充実している事が非常に特徴的です。

　料金は「ベーシック」、「スタンダード」、「 ビジネス」、「プレミアム」、「エンタープライズ」、「テレワークプラン」の6種類あります。標準的な「ビジネスプラン」の場合、ユーザ数は無制限、ストレージ容量は全体で3TBで固定9万円となります。

全体で3TBは場合によっては少ないと感じるかもしれませんが、随時追加可能です。

６．最後に

セキュリティに重点を置くとしても強制力が強すぎては利便性を損ねてしまいます。どのようなファイルを共有するか、また、その共有先には社外も含むか、共有ユーザの権限はどれくらい細かく設定する必要があるか、などを考慮した上で、管理負荷、料金体系、使用可能なストレージ容量を各サービスで比較して、さらに付加機能を加味して各サービスの違いを考え、使用するサービスを選択する事をおすすめします。

■目次

1)テレワークセキュリティガイドラインで警告されている課題とは

2)システム管理者・テレワーク勤務者が対策すべきセキュリティ対策

3)テレワークにクラウドストレージを採用すべき理由

4)クラウドストレージ比較

5)まとめ

記事概要

テレワーク環境で情報の共有やファイルの受け渡しの際、セキュリティ事故が発生することがあります。そのためシステム管理者・テレワーク勤務者は、それぞれの立場でテレワークセキュリティ対策を実施する必要があります。

この記事では総務省のテレワークセキュリティガイドライン第4版をもとに、課題・対策をまとめました。記事を読んで、自社に合ったテレワーク方式を検討しましょう。

1)テレワークセキュリティガイドラインで警告されている課題

「情報資産」は、企業で管理する紙文書、電子データ、情報システムを指します。

情報資産にはクライアント先の情報や自社情報など重要な情報が多く含み、オフィス内での管理が外れるテレワーク環境で脅威にさらされやすいです。

●情報資産がさらされやすい脅威

・マルウェア（ウイルス・ワームなど）

・端末の紛失・盗難

・重要情報の盗聴

・不正アクセス

そのためテレワーク環境でのさらされやすい脅威を正しく認識し、対策を講じる必要があります。

2)システム管理者・テレワーク勤務者が対策すべきセキュリティ対策

システム管理者とテレワーク勤務者が対策すべきセキュリティ対策を項目ごとにまとめました。

●情報セキュリティ保全対策の大枠

（システム管理者）

・システム管理者は情報セキュリティポリシーに従って、テレワークの技術的対策や教育を実施し監査をする。また経営者がルールを決める際に必要な情報を提供する。

・社内の情報資産を「機密情報」「業務情報」「公開情報」の3つに分類し、公開情報の取り扱い方を定める。（印刷可否や暗号の要否など）

・ テレワーク勤務者に対して情報セキュリティ教育を定期的に実施する。

・ 情報セキュリティ事故の発生時に備え、連絡体制をつくり、早期発見/早期対応できるように訓練を実施する。

（テレワーク勤務者）

・テレワーク作業中は、利用する情報資産の管理責任を自らが負うことを自覚し、情報セキュリティポリシーに従って、定期的に実施状況を自己点検する。

・テレワークで扱う情報について、定められた情報のレベル分けとレベルに応じたルールに従って取り扱う。

・セキュリティ教育に積極的に取り組むことで、セキュリティに対する認識を高めることに務める。

・セキュリティ事故の発生に備えて、システム管理者に連絡できるよう連絡体制を確認し、事故時に備えた訓練に参加する。

●マルウェアに対する対策

（システム管理者）

・フィルタリング設定をかける。

・サーバ用ウイルス対策ソフトの導入する。

・アプリケーションをインストールする際は、申請するワークフローを作成する。

・ウイルス定義ファイル更新やアップデート対応を一人一人対応すると困難なので、システム管理者が指示のもと、一斉にアップデート対応を実施できるような製品を選択する。

・OS/主要なアプリケーション/ミドルウェアのアップデートを実施する必要があります。

・テレワークに使用する私用端末のセキュリティ対策を確認する。

・ ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する。

・金融機関や物流業者からの事務連絡を装うなどの不審なメールが 迷惑メールとして分類されるよう設定する。

（テレワーク勤務者）

・マルウェア感染を防ぐため、OSやブラウザのアップデートが未実施の状態で社外のウェブサイトにはアクセスしない。

・アプリケーションをインストールする際は、システム管理者にその旨を申請し、許可を受けたアプリケーションのみをインストールする。

・作業開始前に、テレワーク端末にウイルス対策ソフトがインストールされ、最新の定義ファイルが適用されていることを確認する。

・テレワーク端末のOS及びソフトウェアについて、アップデートが適用され最新の状態であることを確認する。

・テレワークにはルールに定められた情報セキュリティ対策が適用されているものを使用し、タブレット等に関しては不正な改造（脱獄、root化等）を施さない。

・テレワーク作業中にマルウェアに感染した場合、迅速に報告を行う。

●端末の紛失・盗難に対する対策

（システム管理者）

・ 台帳等を整備し、貸与するテレワーク端末の所在や利用者等を管理する。

（テレワーク勤務者）

・オフィス外に情報資産を持ち出すとき、その原本は安全な場所に保存し、機密性が求められる電子データを極力管理する必要が無いように業務の方法を工夫する。（やむを得ない場合は必ず暗号化して保存する）

●重要情報の盗聴に対する対策

（システム管理者）

・ テレワーク端末において無線LANの脆弱性対策が適切に講じる。

（テレワーク勤務者）

・機密性が求められる電子データを送信する際には必ず暗号化する。

・無線LAN利用に伴うリスクを理解し、テレワークで利用する場合は確保すべきセキュリティレベルに応じた対策が可能な範囲で利用する。

・第三者と共有する環境で作業を行う場合、端末の画面にプライバシーフィルターを装着したり、作業場所を選ぶ等により、画面の覗き見防止に努める。

●不正アクセスに対する対策

（システム管理者）

・ 社外から社内システムへアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用する。（電子証明書などを併用が望ましい）

・ テレワーク勤務者がインターネット経由で社内システムにアクセスする際のアクセス方法を定める。（ファイアウォールやルータ等を設置、アクセス状況を監視、不必要なアクセスは遮断する）

・ 社内システムへのアクセス用のパスワードとして、強度の低いものを用いることができないように設定する。（パスワード設定に単純なものや短いパスワードを禁止する）

（テレワーク勤務者）

・社外から社内システムにアクセスするための利用者認証情報（パスワード、ICカード等）を適正に管理する。

・インターネット経由で社内システムにアクセスする際、システム管理者が指定したアクセス方法のみを用いる。

・テレワークで使用するパスワードは、使い回しを避け、一定以上の長さで他人に推測されにくいものを用いるように心がける。

●外部サービス利用に対する対策

（システム管理者）

・Facebook、TwitterなどのSNSの利用に関するルールやガイドラインを整備する。

・ファイル共有サービスは、指定したサービスのみを利用するようにルール化しましょう。 ファイルをアップロードする際は、あらかじめファイルを暗号化し、相手のダウンロードが完了したら、ファイルを速やかに削除する。

（テレワーク勤務者）

・メッセージングアプリケーションを含むSNSをテレワークで利用する場合、社内で定められたSNS利用ルールやガイドラインに従って利用するようにする。

・ファイル共有サービス等のパブリッククラウドサービスを利用する場合、社内ルールで認められた範囲で利用する。

3)テレワークにクラウドストレージを採用すべき理由

テレワークを実施する際、クラウドストレージ採用をオススメします。理由は、

メリット1．サーバを自社に設置するより、クラウドストレージ採用の方がコストが低い

メリット2．オフィスにサーバ管理者を配置しなくてすむ

メリット3．セキュリティ対策設備の管理が楽になる

メリット4．クラウドストレージを利用したテレワークは、オフィスのネットワークへの影響が小さい

しかしクラウドストレージを利用することによるデメリットもあります。

デメリット1．社外から社内にアクセスする場合、ファイアウォールに一種の「穴」を設定しなければいけない

デメリット2．インターネットからのアクセスを前提とするものであるため、外部からの攻撃が受けやすい

このデメリットや留意すべき点に対して、対策を講じる必要があります。

対策1．クラウドサービスで利用するパスワードは簡単に推測できないものにする

対策2．パスワードは外部に漏洩することのないように厳格な管理をする

追加対策として、多要素認証、電子証明書の併用、利用者の認証におけるセキュリティ対策の強化が望ましいです。

クラウドストレージの利用も適切な対策を講じ実施すれば、コストを下げ、テレワーク環境を整のえることができます。

4)クラウドストレージ比較

クラウドストレージを提供している企業のサービスを比較し、一部抜粋して下記表にまとめました。

単純にストレージ容量だけ比較するとBOXやDropBoxがいいでしょう。しかしテレワークを実施する上で強固なセキュリティ対策を実施するならば、操作ログ監視・上長承認・暗号化・アクセス権編集などの機能がある点からDirectCloud-BOXがオススメです。

企業ごとに必要な機能や基準が異なるので、優先事項と必要なセキュリティ機能について棚卸しすることをオススメします。

5）まとめ

いかがでしたか？まとめますと、下記4点になります。

・システム管理者は定期的にテレワークセキュリティ対策を検討し、監査し、対策を講じる必要があります

・テレワーク勤務者はシステム管理者の指示のもと、対策を実施し状況を報告するように努める必要があります

・クラウドストレージを利用すると、コストが下がり、テレワーク環境が整うメリットがあります

・一方でデメリットも存在するので、パスワードのルール化や厳格な管理が必須になります

これを機会にクラウドストレージを使ったDX化を検討してみてはいかがでしょうか。

取引先のセキュリティの甘さが自社のセキュリティの弱点に

企業の情報セキュリティを考える場合、自社のセキュリティを考えることはもちろん大切です。しかし、昨今では取引先のセキュリティも重要となっています。取引先のセキュリティに隙があり、そこからウイルスやマルウェアに感染することもありえます。取引相手が大企業となる場合には、リスク排除の観点から高いセキュリティ要件が求められることとなります。

企業のセキュリティ対策は、その企業の社内だけでなく、供給業者や請負業者といった取引先のセキュリティ対策も大きく影響するのです。取引先のセキュリティ対策が万全でない場合、そこが企業のセキュリティーホール（セキュリティ上の弱点）となることも起き得るのです。

コロナ禍で慌てて導入したテレワーク。大企業の求めるセキュリティ基準を満たしていますか？

2020年、突如として社会に蔓延した新型コロナウイルスの脅威。多くの企業が十分な準備ができていなにもかかわらず、テレワークの導入をせざるを得ない状況となりました。なし崩し的に導入されたテレワーク環境は、取引先となる大企業の求めるセキュリティ基準を満たしたものになっているでしょうか？

まずは自社の情報セキュリティへの対応姿勢が、情報漏洩を防ぐ仕組みになっているか再点検してみましょう。一般社員と管理職、それぞれが情報漏洩事故への対応方法をあらかじめ準備し、対策できているか再確認します。

セキュリティ向上のためのクラウドストレージ利用

企業にとって大きなリスクとなる個人情報や機密情報の漏洩。独立非営利活動法人日本ネットワークセキュリティ協会による「2018年 情報セキュリティインシデントに関する調査報告書」では情報漏洩の原因は1位誤操作、2位紛失・置き忘れ、3位不正アクセス、4位管理ミスとなっており、全体の約80%のインシデントが上位4位の原因によるものでした。

これらの情報漏洩の原因のうち1位誤操作、3位不正アクセス、4位管理ミスの対策となるのがクラウドストレージの活用です。クラウドストレージを利用した情報へのアクセス手順、管理方法を打ち出すことで1位誤操作、4位管理ミスといった人的なミスへのシステマティックな対応が可能です。また、3位不正アクセスについても、信頼できるクラウドストレージを利用することで外部からの不正アクセスによる情報の略取、改ざんのリスクへの対策となります。

情報セキュリティを向上させるには、リスクをひとつづつ消していくしか手段はありません。そんなリスクの中でも、NASやハードディスクに格納したデータの略取、改ざんやVPN機器からの情報漏洩といったリスクへの対策として、クラウドストレージの導入をお勧めします。クラウドストレージの活用を社内のルール化することで、システマティックに情報漏洩を防ぐ取り組みとなります。セキュリティにおいては人的ミスもリスクの一つですが、システマティックな対応を行うことでその可能性を避けることにもつながります。

※

安心安全を得るために。法人向けクラウドストレージ

企業においてクラウドストレージを利用する場合は、法人向けのクラウドストレージサービスを利用することをお勧めします。国内、海外の多くの企業がクラウドストレージサービスを提供しており、自社に適したサービスを選択することが可能です。

法人向けクラウドストレージの選び方として、ポイントとなる点は、

・安心、安全に利用できることを最重要視

・国内企業によるサービスの方がサポートは利用しやすい

・社内不正防止機能があるものを利用し、信頼性を高める

・多くの人が使うため、はじめてでも使いやすい直感的に使えるUI

・重要な業務上の機密を任せられる強固なセキュリティ。

etc

特にテレワークで重要になる点は、セキュリティ性能と利便性（使いやすさ）です。セキュリティが確保できていないサービスでは、安心して大切な業務の情報を任せることはできません。そして、テレワークでは多くのユーザが繰り返し使うサービスとなりますので、誰でも使いやすいサービスが作業の生産性という面でも重要です。

クラウドストレージのセキュリティでは、具体的には下記のような機能が存在します。特に日本でテレワークに利用する場合は、ログや権限付与、上長承認などの社内での管理を高める機能に人気があります。

・通信の暗号化

・利用ログの取得および管理者による確認

・ファイル、フォルダに対する権限付与

・ワークフローによる上長承認機能

一般的なクラウドストレージにおける使いやすさのポイントとしては、下記の点が挙げられます。日本国内でテレワークに利用するのであれば、国内企業が提供しているサービスが、インタフェースもしっくりくることが多いです。

・UI（ユーザインタフェース）が直感的で利用しやすい

・アクセスや共有といった処理が行いやすい

・複数ファイルに対して一度に処理することが可能な一括処理機能

クラウドストレージサービス比較

いくつかのクラウドストレージサービスを比較してみたのが下記の表です。コストパ、セキュリティなどのテレワーク利用で重要な観点を中心に比較しています。

比較を行う中で浮かび上がってきたのが、Direct Cloud-Boxの非常に高いコストパフォーマンス。特にユーザ数無制限で定額、それでいて容量や転送ファイル制限などのシステム機能の高さのバランスが、大手から中小のお客様にも多く選ばれる理由となっているようです。

※1. 別途初期費用35,000円必要。

※2. 5ユーザー未満の場合、ユーザー1人あたり最大保存容量は1TBとなります。

※3. 5IDで100GB。ここから、10GB/200円（月額）で容量追加可能。

※14. この機能はEnterpriseプランにて対応。

※15. M社の製品で、同機能を利用するためにはSharePointまたはADFSを別途導入する必要があります。

※16. Gsuiteそのものにはないが、CloudGateUNOのような、外部サービスと連携することで実装可能。

※17. アクセスレベルをそれぞれの機能のON/OFFでカスタムが可能。

※18. 公式の機能として提供されていない。

※19. 一部の販売代理店経由で導入された場合に適用されるサービスあり。。

※比較表に記載の情報は2020年1月9日時点のものです。

※上記価格はすべて税別となります。

情報セキュリティインシデントは、2020年も発生しています。ここでは事故事例を取り上げ、対処方法としてクラウドストレージの有効性を解説していきます。

メール誤送付などによる情報漏洩の影響は深刻。2020年も事故が発生

いまやメールやUSBは、 企業や組織の運営に欠かせないITツールです。どちらも手軽さが魅力ですが、誤操作や紛失により容易に情報が漏洩してしまうことが難点です。実際に起きてしまうとセキュリティ事故として扱われ、信用の失墜や賠償金の支払い、取引先の離脱など、企業や組織に深刻な影響を与えます。

一方で、情報漏洩事故は増加しています。本記事では2020年に起きた事故を4件取り上げ、それぞれの問題点をまとめました。

また解決策としては、クラウドストレージの活用が有効です。本記事を貴社のセキュリティ対策に、ぜひお役立てください。

事故事例1：入試合格者情報を誤添付しメール送信（神戸大学）

事例1は、神戸大学が推薦入試の事前審査結果をメールで通知する際、添付するファイルを間違えた例です。本来は結果の通知を添付すべきところ、2名に対して以下のファイルを誤送信してしまいました。

・1名に対して、不合格者全員にあたる17名の情報（氏名、審査番号、審査結果）

・1名に対して、合格者全員にあたる37名の情報（氏名、審査番号、審査結果）

上記の通り、54名の個人情報が外部に流出してしまいました。神戸大学では誤送信先の2名に対して削除を依頼するとともに、個人情報流出の被害に遭った54名に対して経緯と再発防止策の説明、および謝罪を行っています。

せっかく添付ファイルにパスワードをかけ、パスワードを別メールで送る工夫をしても、肝心のファイルが間違っていたのでは対策の意味がありません。新型コロナウイルスの影響により国際郵便が滞っていたため、メールで結果を通知したとのことですが、内容の取り違えは郵送でも起こりうることに注意が必要です。

もし以下のどちらかの対策を取っていれば、防げた事故でした。

・送信前に、上長の確認と承認を受ける

・結果通知を行う担当者は、合格者や不合格者全員の情報が書かれたファイルにアクセスできないようにする

クラウドストレージの中には「承認ワークフロー」による上長の承認や、フォルダごとのアクセス権設定、ファイルリンクといった機能があります。これらの活用により、そもそも業務に必要のないファイルへのアクセスを防ぐことが可能です。またファイルを外部へ送信する前に上長のチェックが入るため、誤ったファイルを送らずに済むこともメリットにあげられます。

事故事例2：バックアップの目的でプライベートメールに自動転送、転送先で不正アクセス被害（横浜国立大学）

事例2は、大学教員が起こしたセキュリティ事故です。この教員は大学のアドレス宛に送られたメールを、プライベートのメールに自動転送する運用をしていました。あるタイミングで転送先のアドレスにフィッシングメールが届き、ここにIDとパスワードを入力したことから、不正アクセスの被害に遭ってしまいます。これにより、約130件の氏名と連絡先が閲覧された可能性があると報告されました。

いかに万全なセキュリティ対策を施している組織でも、プライベートのメールアドレスは管理できません。この場合は、職員1人1人の情報リテラシーとセキュリティの意識でしか、情報を守ることはできません。もし転送先のセキュリティが脆弱なら、容易に情報流出する危険にさらされます。これはバックアップが目的でも同様です。

情報共有にメールを使う限り、上記の課題はつきまといます。

このためメールではなく、情報共有をクラウドストレージで行うことをお勧めします。クラウドストレージならどこからでも情報にアクセスできるため、プライベートメールへの転送は不要。今回のような情報漏洩事故を防げます。加えてクラウドストレージにはファイル共有機能もありますから、セキュアな環境で安心して情報共有が行えます。

事故事例3：バックアップデータを記録したUSBメモリを紛失（豊橋市）

事例3は、豊橋市の上下水道局で発生したUSBメモリの紛失です。この部署では大規模災害に備え、毎月2回以下に示す運用をしていました。

1. 総務課は業者が引き取る前日に、最新データが入った媒体を情報企画課に引き渡す
2. 1．の翌日に、情報企画課は業者にUSBメモリを引き渡す。同時に、半月前のデータが入ったUSBメモリを業者から受け取る
3. 情報企画課は総務課に、2．で受け取ったUSBメモリを渡す

2020年5月にUSBメモリ1本が紛失していたことが判明し、公表に至ったものです。USBには、会計システムのデータが最大19,828件入っていました。専用のシステムでないと見えない措置が取られていたものの、セキュリティ事故には違いありません。

機密データの入った媒体の授受は、常に紛失のリスクと隣り合わせです。災害への備えが目的ならば、バックアップ先をクラウドストレージに変えることで、このような事態を防ぐことが可能でした。

事故事例4：自宅での作業用に254件のアドレスが記載されたメールを誤送信（横浜市）

事例4は、横浜市の指定管理者が起こした事故です。この職員はパソコンを変える際に自宅でメールアドレスを整理する目的で、個人のパソコンに送信しようとしました。しかし送信先が「すべてのメールアドレス」であったため、セキュリティ事故となったものです。これにより、254件の個人情報が漏えいしてしまいました。

職場では「メールアドレスは所外への持ち出し禁止」というルールを定めていましたが、事故の抑止力とはなっていません。このような事故を防ぐには、メールアドレスの管理をクラウドストレージで行う措置が必要です。

クラウドストレージならメールアドレスを社員のパソコンではなく、クラウド環境で管理できます。このため個人情報を社外に持ち出さないルールを守らせることができ、情報漏洩事故を防げます。

情報漏洩事故は多発中。事故が起こる前にクラウドストレージで対策を

ここまで解説したとおり、公的機関や企業など、さまざまな組織で情報漏洩事故は多発しています。NPO日本ネットワークセキュリティ協会（JNSA）の調査結果によると、2017年は386件、2018年は443件の情報セキュリティインシデントが発生しています。原因別にみると、「紛失・置き忘れ」「誤操作」「不正アクセス」で7割を占めています。

本記事で紹介した事故事例の原因も、上記に含まれます。このように、情報漏洩は決して他人事ではありません。

事故事例のなかには、ルールを決めていたにも関わらず情報漏洩が起きたケースも含まれます。このため原因を「担当者の不注意だから」として、「より一層注意する」という対策を示すことは不適切です。うっかりミスは誰にでもありますから、システムの導入で情報漏洩を防ぐ対策が求められます。

弊社では、メールやUSBメモリを使わなくても安全にデータをやり取りできるクラウドストレージ「DirectCloud-BOX」を提供しています。ファイルは担当者別に権限を設定可能。誤ってファイルをアップロードしても、リンクを送らなければ誰にも見られる心配はありません。承認ワークフローを使えば上長のチェックが入るため、ヒューマンエラーも防げます。

もちろん不正アクセスなどへのセキュリティ対策も万全です。

クラウドストレージで対策を

比較をしてみると「コスト」と「セキュリティー」の観点でDirectCloud-BOXがよさそうです。

具体的には・・・

コストの部分だと・・・ユーザー数無制限なので100人以上で利用する場合、リーズナブルに使えそうです。

セキュリティー機能の部分だと・・・上長承認機能が唯一ある点。IPアドレス制限・デバイス認証の部分が標準で機能がある点が特筆すべきメリットです。

[作成者3] 

上記のとおり、DirectCloud-BOXにはさまざまなメリットがあります。

貴社も情報共有やバックアップの手段として、クラウドストレージ「DirectCloud-BOX」を選択肢の1つに含めてみてはいかがでしょうか

参考：

イード「ScanNetSecurity　入試合格者情報を誤添付しメール送信、コロナ影響で国外への郵送取り止め（神戸大学）」：https://scan.netsecurity.ne.jp/article/2020/07/17/44331.html

イード「ScanNetSecurity　バックアップでプライベートメールに自動転送、転送先で不正アクセス被害（横浜国立大学）」：https://scan.netsecurity.ne.jp/article/2020/07/16/44319.html

イード「ScanNetSecurity　大規模災害に備えバックアップデータを記録したUSBメモリを紛失（豊橋市）」：https://scan.netsecurity.ne.jp/article/2020/07/14/44309.html

イード「ScanNetSecurity　自宅での作業用に２５４件のアドレス記載したメールを誤送信（横浜市）」：https://scan.netsecurity.ne.jp/article/2020/06/30/44259.html

神戸大学「神戸大学大学院海事科学研究科博士課程前期課程推薦入試について（お詫び）」：https://www.kobe-u.ac.jp/documents/NEWS/info/maritime/2020_07_10_01.pdf

横浜国立大学「電子メール転送先での不正アクセス被害について」：https://www.ynu.ac.jp/hus/joho/24236/detail.html

豊橋市上下水道局「公営企業会計システム用バックアップUSBの紛失について」：https://www.city.toyohashi.lg.jp/42458.htm

横浜市「都筑中央公園自然体験施設における電子メールアドレスの流出について」：https://www.city.yokohama.lg.jp/city-info/koho-kocho/press/kankyo/2020/20200619_hokubukoen.files/0004_20200622.pdf

NPO日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」：https://www.jnsa.org/result/incident/2018.html

ダイレクトクラウド「DirectCloud BOX」：https://directcloud.jp/

ダイレクトクラウド「法人向けクラウドストレージ「DirectCloud-BOX」のコアコンピタンス」：https://directcloud.jp/about/features#dc_features

ダイレクトクラウド「強固なセキュリティ」：https://directcloud.jp/about/features02

ダイレクトクラウド「多忙なビジネスパーソンを後押しするスマートなファイルリンク」：https://directcloud.jp/about/func_user01

ダイレクトクラウド「情報流出を防ぐセキュリティ対策」：https://directcloud.jp/about/func02

ダイレクトクラウド「社内・拠点間で安全でスムーズなファイル共有を実現」：https://directcloud.jp/about/func_user02

ダイレクトクラウド「承認ワークフローによる社内統制・誤送信防止・情報漏洩対策」：https://directcloud.jp/about/func_workflow

ダイレクトクラウド「導入事例 　株式会社チャンス　デイサービスほっと」：https://directcloud.jp/interview/interview19