ニューノーマル時代の到来により、顧客サービスの非対面化や業務のデジタル化・オンライン化を推進する企業が急増しています。
金融・保険業界においては「スマホ・Webチャネルの強化」、流通・小売業界においては「販売チャネルのEC化」、各企業ではテレワークの導入が進む中、これらを安全・快適に実施するためにはセキュリティ対策が重要です。
本コラムでは、神戸大学大学院工学研究科森井教授によるニューノーマルにおける本人認証の最前線を解説いたします。
1.はじめに
SDGsはすべての人に向けての安全で公平な世界、そして先々までつながる豊かな世界を目指そうとする17の目標を定めたものである。2015年の国連サミットにおいて合意された、2030年を達成年限とする世界共通目標だ。提言から5年経った現在、世界共通の災禍である新型コロナウイルスに対応するためにも、その土台としてSDGsは更なる大きな意味合いを持つに至った。
コロナ禍での働き方改革も必然的に要求され、単に地理的、時間的な、いわゆる「三密」に制限された働き方ではなく、SDGsの目標9である、強靭(レジリエント)なインフラ構築、包摂的かつ持続可能な産業化の促進及びイノベーションの推進を図ること、そして目標11である、包摂的で安全かつ強靭で持続可能な都市及び人間居住を実現することを同時に成しえることを目標としている。
テレワークは直接的には、コロナ禍での「三密」を避けるための仕事術として定着しつつあるが、間接的には目標7であるエネルギーの確保、および目標8の人間らしい生活を営める労働環境を提供するに至った。このことはさらに先に挙げた目標9、および目標11を視野に捉えるまでに至る。つまり、低エネルギー消費、脱炭素化社会、そしてゆとりある労働環境からのイノベーションの創出、その上での豊かな生活環境が安全かつ強靭で持続可能な人間社会を生み出すのである。
2.テレワークの位置付け
テレワークとは簡単に言えば、社内で行なっていた仕事を社外で行うことだ。パソコンを利用して社内で行なっていた各種事業設計、管理、運用をはじめ、様々な情報処理を、ネットワーク、特にインターネットを介して、社外から行うことである。したがって、いかに安全にインターネットを利用するかが一つの重要な課題になる。
かつてから低エネルギー消費、労働環境の改善を目的にテレワークが推奨されていた。「三密」対策として急激なテレワークの普及が求められたが、必ずしも容易ではない。特に中小企業ではその導入が進んでいるとは言えない状況だ。大阪商工会議所の2020年6月の調査では、52%の導入にとどまっており、導入した中小企業の大多数が一部社員のみの実施となっている。さらに地方の徳島商工会議所連合会の2020年9月の調査では、わずか4%の導入となっている。もちろん通勤環境や社会環境の違いがあるとはいえ、極めてテレワークに消極的であることは否めないであろう。その理由は総じてテレワークへの理解度が乏しいこともあるが、テレワークを実施する設備等の環境が整っていないとともに、セキュリティへの不安が主となっている。
3.テレワークを実現するには
インターネット自体には安全性はない。正確に言えば盗聴される可能性があり、相手、つまりリモートワークを行う企業側とつながっているかという保証もない。インターネット自体は、良い意味で「いいかげん」な技術であり、つながることを第一の目的とした技術である。このインターネットの安全性を保証する技術がVPN(Virtual Private Network)だ。
VPNは直訳すれば、仮想化専用線だ。専用線とは、会社と自宅、もしくは利用するパソコン等の通信機器と物理的に専用の通信路を引くことである。専用だから他者は誰も利用することができず、また覗き見ること(盗聴)もできない。もちろん専用線をサービスする保守の範囲内であって、サービス会社に脆弱性があればその限りではない。しかし少なくともそのサービス会社が被害を保証してくれる。
VPNは誰でもが共有しているインターネット上で専用線と同じように安全性を保証するものだ。詳しい技術的説明は省くが、暗号化と認証技術を用いて専用線のように利用、つまり仮想化するのである。暗号化によって、もし盗聴されたとしても、その内容が理解できず、事実上盗聴に対して安全性が担保される。認証技術とは通信している相手が、想定している相手であるか否かを判別し、保証する技術である。この2つを組み合わせて専用線と同じ効果を生み出すのだ。
このVPNで注意することがある。あくまでも仮想専用線であって、専用線と同じでない。最近のパソコンや通信環境ではほとんどないが、接続に時間がかかり、また通信速度が低下することもあり得る。そして最大の相違点は仮想化での実現ゆえ、設定や運用の不備が思わぬ情報漏洩や盗聴を許してしまう可能性があるということだ。実際、コロナ禍での2020年8月、急遽VPNを稼働させた結果、脆弱性を残したままのVPN製品を国内外の組織が多数使用し、国内だけでも数十社が不正アクセスの被害を受けた。このVPN製品に関しては、2019年4月にパッチ(修正プログラム)が発行されており、同時に脆弱性の存在が明らかになっていたのである。当時はそのVPN製品を購入しただけで、積極的な利用を控えていて、その脆弱性に対する処置を怠っていたのであろう。急遽、そのVPN製品を利用したことで、正当な運用ができなかったのだ。
4.テレワークの盲点
VPNが実現できたとしてもリモートワークが安全に行われる訳ではない。自宅での利用に限定したとしてもいくつもの注意点がある。まず当然だが、自宅の環境を安全にしなければならない。つまりパソコンのOSを含む、ソフトウエアの脆弱性を皆無にするためにも更新を頻繁に行い、アンチウイルスソフトを含むセキュリティソフトを導入しなければならない。そして自宅ゆえの最大の注意点は家人のアクセスへの注意である。自宅のパソコンゆえに家人が勝手に利用する場合があり、意識することなく不正なソフトを導入したり、不正なサイトにアクセスしたことから設定が変更されたりする場合がある。そしてできるだけ避けたいが、自宅外でのリモートアクセスも考えられる。この場合、一般にはキャリア(携帯電話会社)が提供するインターネット接続や無線LAN接続が用いられる。公衆無線LANは利用すべきではないだろう。その接続において注意することは無線LAN接続において確かに正しい無線LANサイトに接続しているか否かの確認である。しかし屋外でのリモートアクセスにおいて一番注意することはショルダーハッキングだ。つまりディスプレイの覗き見である。それをある程度防ぐためにも、覗き見を防止するためのフィルターを付けるべきだ。このフィルターは横から見えないだけであって、後ろからは覗き見可能になり、文字通りのショルダーハッキングには無効である。さらにパソコンやタブレットから目を離すことは言語道断である。USB接続を始め、一瞬にして不当なコマンドを実行させられないとも限らないのである。
5.むすび
新型コロナウイルス対策もあって、社外でのリモートオフィス化が急激に進んでいる。会議や打ち合わせもテレカンと呼ばれるTV会議方式が多用されている。当然のことだが、社内には紙の書類が存在し、その確認ができない、他の社員とのタイムリーな打ち合わせや問い掛けが困難等、一般的なテレワークには課題もある。その課題を積み残したまま、テレワークを続けることで、社員のモチベーションの低下や評価への不安等も生じるようである。日頃からテレワークに親しみ、その長所短所だけでなく、注意点に精通していればセキュリティを含めて問題なく利用できるだろう。しかし無理な導入は大きなセキュリティ上の問題を引き起こすこともあり得る。テレワーク導入に関しても、新型コロナウイルス対策同様、セキュリティ対策を十分に行うべきである。
森井 昌克 氏
神戸大学大学院工学研究科教授
1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。現在、神戸大学大学院工学研究科教授。情報セキュリティ大学院大学客員教授。
情報通信工学、ネットワークセキュリティ、情報理論、暗号理論等の研究、教育に従事。加えて、インターネットの文化的社会的側面、それを基盤としたネット社会、およびビジネス、ベンチャー起業についての研究、社会活動にも従事。内閣府、総務省、経済産業省、厚生労働省、及びその関連団体の審議会、委員会等の委員を歴任。2018年経済産業大臣表彰。2019年総務省情報通信功績賞。