中小企業のテレワーク~貴社のテレワークは大丈夫?~

デジタル化

和多田です。本日は中小企業のテレワークについて書こうと思います。

今年は、コロナ禍の影響で多くの企業がテレワークを本格的に導入しました。もともとテレワークは、主に育児や介護で、フルタイム出社がままならない社員向けの福利厚生的な位置づけで、ここ数年で徐々に浸透はしてきていました。ただ、今年はそれが一気に、一般社員にまで進んだと思います。知的労働の多くは、必ずしも出社せずとも可能ということは常々言われており、ワークライフバランス・働き方改革という観点では非常に良いことと思います

テレワーク導入で、セキュリティが脆弱化?

一方、一気に進んでしまったことによる反動というのが出ているようです。先日、NHKのクローズアップ現代+で以下のような番組がやっていました。

従来、会社の中のセキュリティで守られた環境で行っていた作業を、家庭からリモートで行えるようにした結果、会社のセキュリティが脆弱となってしまい、サイバー攻撃の標的となってしまったというお話です。会社の機密データを漏えいされたり、会社のデータを暗号化され、身代金を要求されるといった被害が、実際に出ているようです。

番組内での映像では、外部からインターネットアクセス可能なPCを設置し、どのくらい攻撃をうけるのかという実験を行っていましたが、実験開始から、ものの数分でサイバー攻撃を受けた形跡がみられ、2日間も置くと攻撃回数は1万回を超えていました。また、パスワードを複雑なものとした場合は破られはしませんでしたが、単純なものにした場合は、侵入されてしまっていました。なかなか衝撃的な結果です。

(番組の詳細はリンク先から読むことが可能です。)

セキュリティを高めることの難しさ

個人でできることとしては、パスワードを複雑化したり、他人に知られにくいように工夫するなどがあるかもしれません。しかし、技術的ことに関しては、何をどこまでやればいいのかを判断することは、ネットワークの専門家でなければなかなか難しいところです。

セキュリティに関することは、実は正解がありません。例えば、自宅のセキュリティなどを考えてみればわかるでしょう。泥棒や不審者の侵入を防ぐには、とことんやるのであれば、総合警備保障会社と契約を結んだり、防犯カメラの設置、ドラマでよく見るような、レーザーによる監視システムのようなものを導入すれば、高度にはなるでしょうが、非現実的なコストがかかりますし、それでも100%大丈夫!となることはないでしょう。大抵の人は、リスク(泥棒に資産を盗まれる)とコスト(セキュリティに対する投資)を天秤にかけて、妥当なところに落ち着かせます。心配性な方はリスクを重視するでしょうし、そうでない方はコストを取るかもしれません。

また、一般にセキュリティを強固にすれば、普段の使い出が悪くなってしまうこともあります。自転車の盗難防止には2重にロックすることが有効…といわれつつも、2つもロックするのは面倒だなぁ…と思って1つしかロックをしない方も多いと思います。セキュリティを高めるとは、面倒だなぁ…という気持ちとの闘いでもあるのです。

どうやって対策すればよいのか?

比較的大きな企業の場合、IT専門の部門が存在し、ITインフラに関する業務を一手に引き受けているため、一般社員は、サイバー攻撃のことで悩まず本業に専念できるケースが多いと思います。しかし、中小企業の場合、本業の片手間にITの面倒を見ているという社員が四苦八苦していたり、あるいは経営者の方が自らいろいろと勉強しながらなんとかやりくりしているということもあるかと思います。

対策をまず一言でいうのであれば、「素人判断をせずに、専門家にご相談を」ということです。サイバー攻撃というものは、現実の泥棒や不審者の脅威と異なり、目に見えないことから実感がわきにくいことが、余計に問題を難しくしていると思います。番組中で被害を受けてしまった会社も、おそらく想像ですが、セキュリティに関するリスクが良くわからず、「うまく動いているからいいや」と、安易に外部からの侵入を許しやすい環境を作ってしまったのかもしれません。

Windowsであれば、リモートデスクトップを許可すれば容易に外部からインターネットアクセス可能な状況を作れますし、市販のNASなども、外部からインターネット越しに内部データを見られるようにできる方法が書かれていますから、できるならやってみよう!とばかりに、セキュリティリスクを考えずに実施してしまうことがあるでしょう。一般に市販品のマニュアルには「できる」ことは書いてあっても、「リスク」と「対策」については、詳しくは書かれていないことが多いのです。

また、頼るところは専門家に頼るとしても、一方で、ある程度の知識は自らつけておくことが必要だと思います。良心的な専門家であれば、どのくらいのリスクには、どのくらいのコストを投資すればよいかという観点から、妥当な提案をしてもらえるかもしれませんが、やはり、自身の肌感覚で知っているに越したことはありません

番組の最後の方で、総務省が出しているテレワークに関するガイドラインが紹介されていました。私も、「へー。そんなものが出ているのか」と思い、私も見てみることにしました。

国が打ち出すガイドライン

番組中では、以下のドキュメント群について、触れられています。

上記ページには、主に以下のような項目があります。

  1. テレワークのセキュリティあんしん無料相談窓口
  2. テレワークセキュリティガイドライン
  3. 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)
  4. テレワークセキュリティに係る実態調査

今回は、それぞれの項目について、どんなことが書かれているかを簡単になぞってみます。

1.テレワークのセキュリティあんしん無料相談窓口

こちらの項目では、電話やメール、Web会議にてテレワークに関する専門家相談が無料でできるようです。先述のとおり、まずは専門家に相談することは重要ですので、こちらを利用すると良いかもしれません

2.テレワークセキュリティガイドライン

こちらは、約60ページになるpdfファイルで、テレワーク導入時のセキュリティ対策方法がまとめられています。想定読者層として、セキュリティの専任担当者が存在する企業に向けて書かれているため、そこそこにITに詳しい人がいない企業では、読み解くことが少し難しいかもしれません

3.中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)

こちらも、約70ページになるpdfファイルで、想定読者層は、セキュリティの専任担当者が存在しない企業向けにやさしく書かれている…という触れ込みですが、こちらも2.に負けず劣らずの難しさの印象です。しかし、後半のチェックリスト部分は、自社のセキュリティの高さを評価するうえで、なにをどこから調べていけばよいかが、かなり具体的に書かれているので、まずはここから調べてみることが良いかと思います。(2.3.については、書き出すと長くなってしまうので、機を見て別のブログ投稿にて掘り下げができたらと思います。)

4.テレワークセキュリティに係る実態調査

こちらは、国が行ったテレワークに関する実態調査の結果で、30,000社の企業(約97%が従業員300人未満)から5,000余りの回答を得られた結果がまとめられており、なかなか興味深いです。報告書本体は約250ページになる骨太の内容ですが、概要はスライド4枚分程度なので、こちらはすぐ読めるのではないかと思います。

総務省ホームページ「テレワークセキュリティに係る実態調査」より引用

テレワークについては、約6割の企業はまだ導入もしていないし、導入予定もないようです。理由の上位から察するに、工場や、対面接客など、まさに現場でなければできない仕事では、なかなか導入が進まないのではないかと思います。一方で、約4割はすでに導入済みないしは、今後導入予定としています。従業員規模が小さくなるほど導入が進みにくくなるとう実態もうかがえます。

自社も導入しようかどうか悩まれている企業の経営者様にとっては、こうした他社の動向を知ることは大変参考になるのではないかと思います。

まとめ

最後の実態調査でわかるとおり、テレワークに関しては、中小企業の約6割はまだまだ導入できていないということがわかります。テレワークに向かない業態であるということはひとつの理由になっていますが、本当にテレワークに向かないのでしょうか?よくよく業務を調べると、実はテレワークにすると効率化がはかれるといったケースもあります

例えば、私が過去にテレワークを提案した例では、ある建設業様で、「現場監督として現場に張り付いていなければならない。よってテレワークには不向き」とおっしゃっていた企業様がありました。よくよく業態を見ると、現場から、その日のまとめレポート等の情報を会社のPCに打ち込むためだけに、現場から一度、片道1時間以上かかる会社に戻っていたなどということがあり、そのために残業時間が過大になっていたなどという例もありました。現場と自宅が直行直帰できれば、防げるロスです。テレワーク導入にあたっては、現状の業務の延長上で考えるのではなく、業態そのものを変える前提で考えなければならないという例でしょう。

一方、ひとたびテレワークの導入を決めたならば、必要な知識を十分に身につけ、常にセキュリティを向上させる努力をしていく必要があります。先述のテレワークセキュリティガイドラインによれば、「ルール」、「人」、「技術」のバランスが非常に重要であると説いています。つまり、お金で買える「技術」のようなものより「ルール」や「人」といった、人的な努力による部分が多くを占めていると解釈もできます。幸い、国では、先述したような無料相談や、無料で利用できるドキュメントの類を用意していますので、まずはこうした部分から始めてみてはいかがでしょうか?

くれぐれも、素人判断で行わないことが重要です。専門家という観点では、中小企業様のご相談相手となれる湘南診断士ネットに、お声がけいただくことも、一つの方法かと思います。

コメント

タイトルとURLをコピーしました