No254 テレワークのケーススタディ

前回は、テレワークでの一般的な注意点を解説しました。

今回はその具体例として、いくつかのケーススタディとして注意点の解説を行います。


1. テレワークのパターン

前回の繰り返しとなりますが、テレワークと言ってもいくつかのパターンがあります。

1 社内のパソコン(PC)を自宅や出先から遠隔繰作(リモートデスクトップ)する
2 自宅や出先からにクラウドサービス経由でログインする
3 自宅や出先でパソコンとメールを使って仕事する
4 紙の書類だけで仕事する

このうち、3のパターンは営業担当者など社外作業の多い方には日常であり、4のパターンも仕事を持ち帰ることであり（それが良いかは別として）慣れたやり方です。

一方で、1や2のパターンは多くの人にとって新しい方式です。
これは2020年のコロナ禍以降に急速に拡がりました。どの組織にとっても「走りながら考える」スタイルにならざるを得ず、いろいろなトラブルも発生しました。

今回は、この１のパターンに焦点をあててみましょう。


2. VPN接続できる＝内部データがいつでも見られる

従来は組織内の情報というのは、組織のメンバであっても外出先では見られませんでした。
自組織の事務所なり工場なりの敷地内に入る必要がありました。
ですから、不法侵入できないように、敷地内にフェンスや防犯カメラを設置し、入口には鍵をかけるなどするわけです。

外出時は組織メンバであっても、内部情報にアクセスできません。
内部情報を知りたい時には電話やメールを使って内勤のメンバに教えてもらっていました。

VPN接続ができると、外にいながら内部情報を見ることができます。
これは非常に便利ですが、逆に言えば不正なアクセスも発生する可能性があるわけです。

※ VPNのことがよくわからないという方は以下をご覧ください。
　  No155 在宅勤務を支えるVPNをご存知ですか？
　　https://note.com/egao_it/n/nd36db106749b


3. VPNは落とし穴がいっぱい

テレワークを適切に運用するというのは意外に難しいものです。

最近のVPN製品はどれも、情報セキュリティ対策にかなり力を入れています。
VPN製品の設定にはかなりの知識が必要ですので、業者におまかせする方が良いでしょう。

ですが、VPNというのは導入後の運用こそが大切であり、そこに落とし穴がいろいろとあります。

さて、今回のケーススタディでは以下の条件でテレワークを行おうとしている、Ａ社をモデルケースとしましょう。

このＡ社は、主に工務店向けのハンドツール類（ペンチなど）の設計・製造・販売を行っています。
今回、設計部門と販売部門のテレワーク化を目指し、VPN機器の導入を行いました。
テレワークは自宅で行う前提で、パソコンは社給のものを利用し、会社で使っているソフトを各メンバのパソコンにインストールして自宅に設置することとしました。

このＡ社では、以前からCADシステム（コンピュータを用いた設計支援システム）を導入しており、設計部門だけでなく製造部門もパソコンには慣れていました。
そのため、社長はVPN導入にも全く不安を感じていませんでした。

さて、このＡ社の導入はうまくいくでしょうか？


4. えと、つながらんのだけど

ところが、いざ使い始めてみると、どうにもうまくありません。
設計部のみなさんから、次々と社内IT担当のＸさんに電話がかかってきます。

●回線は大丈夫？

ベテランのＡさん（あまりネットには明るくない）が会社に接続しようとするとエラーになります。

Ａさん「えと、会社につながらないんだけど」
Ｘさん「どんなエラーが出てます？」
Ａさん「説明書の通りやったんだけど、画面が出てこんよ」
Ｘさん「Ａさん家の回線は光？ケーブルテレビ？」
Ａさん「え？ウチにはないよ。息子のモバイル使ってるもん」
Ｘさん「なるほど。息子さんは？」
Ａさん「そらアンタ。今日は平日だから大学行ってるよ」
Ｘさん「．．．（絶句）」


●VPNアプリは？

Ａさんよりはネットに明るいＢさんも会社に接続できない。

Ｂさん「えと、会社へのVPN接続がうまくいかないんだけど」
Ｘさん「VPNアプリは入れてます？」
Ｂさん「え？あれってダウンロードするんじゃ？」
Ｘさん「アレは社内からしかダウンロード許可してないんです」
Ｂさん「え？どうにかならんの？」
Ｘさん「どうにも...。今日は出社ねがいます」

●私物パソコンは伏魔殿

私物のパソコン使うから会社のはいらない、と申告したＣさん。
社長は費用が浮くと喜んでいたのですが。

Ｃさん「自宅のパソコンから接続できないんだけど」
Ｘさん「どんなエラーが出てます？」
Ｃさん「なんか接続許可できないとか言われるんだけど」
Ｘさん「妙なアプリ入れてませんか？ファイル共有系とか」
Ｃさん「あ、オレ好きだからいろいろ入れてるよ」
Ｘさん「全部削除してください！」
Ｃさん「ええええ、そんなの困るよ。」
Ｘさん「だったら、会社でパソコン貸出ししますから」
Ｃさん「ええ...、会社のマシン遅いんだよなぁ...」


5. 日常化してもトラブルは起きる

なんとか全員がVPN接続できるようになったＡ社、ようやくテレワークが日常になりつつある今、トラブルが続出します。

●設計情報が漏洩

納入先から「おたくの新製品の設計図みたいのがネットで流出してるよ」と言われ、社内調査したところ、Ｄさんが担当した図面なのがわかります。
総務のＹさんがヒアリングします。

Ｄさん「実は先日、空き巣に入られまして...」
Ｙさん「え？パソコンが盗まれたのですか？」
Ｄさん「いや、大丈夫。」
Ｙさん「データが盗まれた可能性は？」
Ｄさん「今考えると、パソコン使われていたかも」
Ｙさん「じゃ、USBメモリとかでデータを盗まれたのかも...」
※こういったケースは実際には発生していないようですが...。

●ライセンス違反の通告

Ａ社が購入しているCADソフトのライセンス番号が不正流通していると販売元から通告。
総務のＹさんの調べで、ライセンス利用者がＥさんだったのがわかります。

Ｙさん「漏洩した心当たりはないですか？」
Ｅさん「実は、ウチの子供（高校生）が使いたいと言い出しまして...」
Ｙさん「ライセンス番号を渡した！？」
Ｅさん「高校生がちょっと使うくらいならいいかと思って...」
Ｙさん「削除してもらったんですよね？」
Ｅさん「それが、子供がライセンス番号をtwitterで発信したらしくて」
Ｙさん「.....(絶句)」

●突然VPN接続できなくなった！

当初は気嫌良く使っていたＦさん、突然VPN接続ができなくなりました。

Ｆさん「いきなり、接続できなくなったんですが」
Ｘさん「今月のWindowsUpdateはやりましたか？」
Ｆさん「まだだけど？」
Ｘさん「それやっとかないと接続拒否する設定なんですよ」
Ｆさん「えええ？そうなの？知らんかった」
Ｘさん「社内の掲示板に掲げてありますよ。内部用ホームページにも」
Ｆさん「え？そうなの？出社してないから知らんかった...」


6. VPNシステム管理者の権限管理は重要

VPNの安全性確保にはその管理者アカウント管理が重要ポイントとなります。
それをおろそかにしていると、最悪の事態を招く場合があります。

●不正ログイン！？

Ｘさんが別件の調査でログを確認していたところ、心当たりのないログイン履歴が多数見つかった。いずれも管理者アカウントでのログインだった。
確かに管理者アカウントのパスワードは業者が最初に設定したままで、"password"のままになっていた。
取り急ぎ、パスワードを長いものに書き換えたところ、以降は不正ログインされなくなった。

しかし、その数日後、今度は作った覚えのないアカウントでVPNにログインしているのが見つかったので、ただちにそのアカウントを利用停止とした。

●マルウェア侵入？

しかし、その数日後、今度は出所不明のマルウェア（いわゆるウイルス）と思われるプログラムがファイルサーバ上で見つかった。調べてみると、VPN管理者の権限でVPNアカウントが不正に作られ、そのアカウントを使ってファイルサーバ上にマルウェアを仕込まれたようだった。

ここに至り、Ａ社は自社だけでこの状況改善は困難と考え、情報セキュリティ専業会社に連絡をし、指示を仰ぐこととした...。


6. まとめ

ここで掲げたＡ社ほどの踏んだり蹴ったりのパターンに陥ることはそうありませんが、その一部はどのような組織でも経験があることでしょう。

テレワークで大きなトラブルを招かないようにするためにも、以下の４つは必ず実施すべきです。

　1.多重認証など本人確認の厳格化
　　→パスワードに加えてSMSや電話で本人確認を厳密に。
　2.VPN接続するパソコンの安全性確保
　　→WindowsUpdateしていないパソコンの接続拒否。
　3.VPN機器／ソフトの定期的なアップデート
　　→管理者は週に一度、機器／ソフトの更新を確認
　　→定期的なログ確認。
　4.VPN機器／ソフトの適切なパスワード設定
　　→利用者のパスワードは英文字で良いので20文字以上。
　　→VPN機器の管理者パスワードは事務所内の機器に貼付けＯＫ。

管理者ログインは出社しないとできないといった制約を付けるのも一つの方法です。

この例は、テレワークの大変さを示していますが、だからといって危険だからやらない方がいい、という結論にしたいわけではありません。
入念な準備、業者を含めた関係者との密な連携は必要ですが、テレワークという業務形態はこれからの世の中で避けて通れません。

テレワークはリスクだけでなくメリットもあります。
働く人にとっては通勤時間が節約できワークライフバランスの改善が見込めます。組織にとっても、通勤費や事務所の維持費などの出費抑制が期待できます。

今回は、いつもと少々パターンを変え、ケーススタディとしてテレワークでのトラブル事例としてみました。

次回もお楽しみに

（本稿は 2022年4月に作成しました）