弁護士・情報処理安全確保支援士 石田 優一
※このコラムは、令和2年6月25日に開催したWebセミナーの内容を、コラム向けにアレンジしたものです。
解説動画
コラム
第1章 はじめに
新型コロナウイルスの影響により、テレワークが大きく注目され、多くの企業において活用されています。このような状況で、企業が気をつけなければならないのが、「テレワークでの情報漏えい」の問題です。政府も、テレワークの普及によって情報漏えい事故が増加することを懸念しており、情報処理安全確保支援士の派遣など、企業に対する支援策を検討しています。
すでに情報セキュリティ関連規程や組織体制を整備し、オフィスワークの情報セキュリティ対策が十分に実行されている企業であったとしても、テレワークを導入する場合には、テレワークの特性を踏まえた対応策が求められます。
このコラムでは、テレワークで気をつけるべき情報漏えいの脅威を説明しながら、企業が取り組むべき情報セキュリティ対策について検討します。
第2章 Zoomの情報セキュリティ問題
1 Zoomの活用の場が広がる中で
テレワークでミーティングに広く活用されるWeb会議ツールで有名なのが「Zoom」ですが、一方で、Zoomの情報セキュリティ上の問題が報道されたことで、「ビジネスの場でZoomを使っても大丈夫なのか」と懸念されている企業は多いかと思います。
とはいえ、Zoomの使いやすさには定評があり、「できればミーティングはZoomを使いたい」と考える方も多いことと思います。
そこで、報道で取り上げられたZoomの情報セキュリティ上の問題を検討しながら、ビジネスの場でZoomをはじめとするWeb会議ツールをどのように活用すべきかについて考えていきたいと思います。
2 Zoom爆撃
Zoomに関して特に大きく取り上げられたのが、「Zoom爆撃」の問題です。これは、Web会議中に、会議に参加していない攻撃者が乱入して、奇声を発したり、不適切な画像を表示させたりするものです。
最近の事案では、香川大学において、Zoomでのオンライン授業中に、攻撃者が乱入し、わいせつ画像を表示させるということがありました。
もっとも、Zoom爆撃については、パスワードの設定や、待機室機能(ホストが承認するまでは会議に参加することができない機能)の有効化によって、かなりリスクを抑えることができます。なお、パスワード設定において留意すべきことは、後述します。Zoom爆撃は、利用者が注意を払うことでかなり発生リスクを抑えられますので、脆弱性の問題としてとらえる必要はなくなってきています。
3 チャット機能の脆弱性
かつてのバージョンには、悪意のあるユーザーがチャットにURLを掲載して他のユーザーにクリックさせることで、そのユーザーのPCを不正に操作することができる脆弱性がありました。
もっとも、この脆弱性はすでに修正されており、新しいバージョンをインストールすることで発生を防ぐことができます。
4 エンドツーエンドの不備
提供社は、Zoomのサービスについて、エンドツーエンドを実現していることを表明していました。しかし、実際には、Zoomの通信の仕組みは、提供社の暗号鍵によって通信を暗号化するもので、提供社においては通信を複合することが可能な仕様になっていました。エンドツーエンドとは、当事者以外は通信の暗号化をすることができない仕組みをいうことから、提供社は、エンドツーエンドを実現している旨の説明が不適切なものであったと謝罪しています。
もっとも、Zoomの新しいバージョンでは、無料版を含めてエンドツーエンドを実現することが予定されており(コラム執筆時点では未公開)、この問題は解消に向かっています。
5 Zoomの問題の本質とは
Zoomの脆弱性としてこれまで大きく取り上げられた問題は、主に、以上のとおりです。
Zoomの脆弱性の問題で特に問題があったのは、エンドツーエンドの不備であったと考えます。なぜなら、このような問題は、単なるバグないしセキュリティホールとは異なり、「セキュリティに対する意識の低さ」から起きたものと評価されるからです。
もっとも、提供社では、今回の反省を生かした取組みを進めており、同様の問題が再発するリスクは従来よりもかなり軽減しているものと考えられます。そのような理由から、(あくまでも私見ですが)「今後もセキュリティ上の問題からZoomを使ってはならない」という評価は、必要がなくなってきているものと考えます。
第3章 Web会議ツールの活用において気をつけるべきこと
1 Web会議ツールはビジネスの場でどこまで使ってよいか
今回、Zoomの脆弱性が大きく報道で取り上げられましたが、そもそも、(潜在的なものも含めて)バグないしセキュリティホールが全くないシステムやソフトウェアは、世の中にほとんどないと言っても過言ではありません。ですから、少なくとも、「うちではZoom以外を使用しているから安全なはず」という安易な考えは適切ではありません。
Web会議ツールをビジネスの場で活用するのであれば、常に利用するツールの最新情報を収集し、新しい脆弱性の問題がないかをチェックしておくべきです。また、ソフトウェアをダウンロードして利用するツールの場合は、定期的にソフトウェアをアップデートしておくことも必要です。
そもそも、情報セキュリティの観点から、「Web会議ツールをビジネスの場で使ってよい」のでしょうか。この問いに対する答えは、(1)取り扱う情報が何か、そして、(2)会議の相手がだれかによって変わります。
2 取り扱う情報によるすみ分け
Web会議ツールをビジネスの場で利用することに問題がないかどうかを考えるうえで、まずは、その会議において共有することが予定されている情報の価値を検討すべきです。
例えば、他の取引先との間で秘密保持契約を締結している秘密情報や、顧客のプライバシーに大きくかかわる情報などは、特に取扱い上の配慮が必要なものです。このような情報を、Web会議ツールの中で共有することに問題がないかどうかは、十分な検討を要します。
3 会議の相手がだれかによるすみ分け
情報セキュリティ対策で陥りがちな問題は、自社判断にこだわりすぎて、他社を意識することができていないことです。
例えば、次のような事例を考えてみましょう。
【事例】
システム開発を受託しているX社は、ベンチャー企業のY社から、オンラインビジネスの発注システムの開発を受託しました。
X社とY社とは、オンラインビジネスのアイデアに関して厳重に取り扱うことを内容にした、秘密保持契約を締結しました。
テレワークに取り組んでいた当社は、システムの仕様についてY社とオンライン会議で打合せをすることになりました。
オンライン会議中、当社の担当者が、画面共有機能で、現在検討中のシステムの仕様案を提示しましたところ、Y社から、仕様案に秘密保持契約の対象であるビジネスのアイデアが含まれており、それを画面共有で示すのは不適切ではないかと指摘されました。
X社の意見に対して「もっともだ」と思うか、「それは言い過ぎではないか」と思うかは、人によって見解が分かれるところでしょう。
秘密保持契約の中でWeb会議ツールでの取扱いについて明確なルールが定められておらず、かつ、利用するWeb会議ツールに情報セキュリティの観点から一定の定評があれば、X社の行為が契約違反と評価される可能性は低いと思われます。とはいえ、X社は、このトラブルによって、Y社からの信頼を失い、今後の取引関係に影響が生じることが予想されます。
情報セキュリティ対策においては、このように、「他社はどう考えているか」という視点を忘れないことも大切です。情報セキュリティ対策に関連した紛争は、たとえ現実に情報漏えい事故が起きなかった(さらにいえば、情報漏えい事故が発生するリスクがほとんどなかった)としても、相手との温度差によって生じることがあります。
4 Web会議ツールで画面共有に適さない資料を共有したい場合は
それでは、Web会議ツールで画面共有に適さない資料を共有したい場合は、どうすればよいでしょうか。
安全性の高い方法の1つが、強度が高い暗号化ツールによって資料を暗号化して、共有することです。
もっとも、このような方法を選択する際に気をつけなければならないことは、(1)安全な暗号鍵の設定ができているか、そして、(2)暗号鍵の受け渡しを安全な方法で行ったかです。
(1)安全な暗号鍵の設定ができているか
第1に、暗号鍵を設定するうえでは、数字・大文字・小文字・記号のすべてを組み合わせて、一定数以上の文字を設定すべきです。数学的に、文字数が1文字増えるたびに、考えられる組合せは爆発的に増えます。
第2に、暗号鍵の中には、キーワードを含めないようにしなければなりません。なぜなら、キーワードを含む暗号鍵は、パスワードリスト攻撃(よくある言葉を含むパスワードをランダムに生成して攻撃する手法)の被害を受けるおそれがあるからです。実際、パスワードリスト攻撃により、定期的に大手サイトのユーザー情報が漏えいする被害が発生しています。
(2)暗号鍵の受け渡しを安全な方法で行ったか
暗号鍵を共有する際には、外部から見えない方法で厳重に封をしたうえで、郵便による方法を選択すべきです。特に、取り扱う情報の内容が重要であれば、書留郵便で送付すべきです。
しばしば見られるのが、暗号化した資料と暗号鍵をそれぞれメールで送付するケースです。しかし、このような方法は、メールの内容が傍受されていた場合に情報漏えい事故が発生するおそれがあり、リスクが高いです。総務省のテレワークセキュリティガイドラインにも、「暗号化に用いたパスワードを別のメールで送っても対策にはなりません」と明示されています。
第4章 テレワーク中の情報セキュリティ対策
1 社員1人1人の意識が明確に求められる
オフィスワークでも、テレワークでも、一般社員に求められる情報セキュリティ対策はそこまで変わりません。ただ、テレワークが必要な状況においては、社員1人1人の情報セキュリティに対する意識が一層求められることになります。
ここで、2020年4月中旬に実際にあった事案を取り上げます。
【事例】
大阪府内のある高校では、新型コロナウイルスの影響で教職員もテレワークを実施することになりました。
ある教職員が、テレワーク中に調査書を作成するために、360名の生徒氏名と指導要録の情報を、USBメモリに保存しました。
その後、校務のために自転車で出張をしている間に、そのUSBメモリを紛失してしまいました。
この高校では、USBメモリの使用や生徒情報の持ち出しは禁止されていましたが、この教職員は、ルールに違反してしまいました。
このような事故は、どうして起きてしまったのでしょうか。
不正行為が発生する要因について、「不正のトライアングル」という考え方があります。
「不正のトライアングル」とは、不正行為は、(1)動機、(2)機会、(3)正当化の3つの要素によって発生するという考え方です。
前述の事案では、「テレワークをするためには生徒のデータを持ち帰らざるを得ない」という動機と、「新型コロナウイルスが流行して普段とは違う状況だから、今回はルールを犯してもやむを得ない」という正当化の心理が要因であったのではないかと推測されます。このように、緊急事態宣言下に見られるようなイレギュラーな状況においては、情報セキュリティのルールを犯してしまう心理状態に至るリスクが高くなります。
テレワークを実施すべき状況においては、通常よりも情報セキュリティのルールを犯してしまうリスクが高いことを踏まえ、社員1人1人の意識を高くするための工夫が求められます。
2 情報の価値に対するランク付け
テレワークを実施する場合には、(1)すべての社員がオフィス外からアクセスしてもよい(あるいは持ち出してもよい)情報、(2) 特定の社員だけがオフィス外からアクセスしてもよい(あるいは持ち出してもよい)情報、(3)オフィス外からはアクセスしてはならない情報を、明確にすみ分けしておくことが求められます。
具体的には、秘密保持契約の対象となる情報や、プライバシー性の高い個人情報、社内の機密情報(開発中の製品に関する情報など)などは、(3)や(2)にランク付けをすべきです。さらに、ランク付けを細かくすることができるのであれば、アクセスすることができる方法の限定の有無や、自己管理のPCに保存することの可否なども、細かく分類しておくことが望ましいです。
このような情報へのランク付けは、情報セキュリティ担当者だけでは実行することができません。秘密保持契約を管理する法務担当者、取引先と情報のやりとりをする営業担当者、テレワークを実施する社員を管理する人事労務担当者、アクセス権限の設定を行うシステム管理者といった様々な立場からの連携があって、はじめて実現することができます。
3 ショルダーハッキングに注意
テレワークの環境においては、家族がPC画面などをのぞき見ることで発生しうるショルダーハッキングにも留意しなければなりません。
4 マルウェアへの感染に注意
テレワーク環境の構築のために、VPNを利用している場合は、テレワークを活用する社員に対し、マルウェア対策を徹底させる必要があります。なぜなら、VPN環境では、従業員PCなどを経由して会社のネットワークがマルウェアの被害に遭うリスクがあるからです。
技術的な対策としては、VPNではなく、VDI(仮想デスクトップインフラ)によってテレワーク環境を構築することが考えられます。もっとも、VDIの利用には、一定のコストが伴います。
VPNでテレワーク環境を構築せざるを得ないのであれば、従業員に対し、PCのマルウェア対策を徹底させるほか、自宅ルーターのアップデートなどの対策も呼びかける必要があります。
また、テレワークで使用するPCの動作に異常が見られた場合に、上司やセキュリティ担当者にどのような手順で連絡するのかについても、きちんとルールを策定し、周知しておく必要があります。
第5章 テレワークでの情報漏えいゼロを目指すために
テレワークでの情報漏えいゼロを目指すためには、セキュリティ規程をテレワークに対応させるために必要な改定を行うことが必要です。
また、テレワークの許可に当たっては、自宅のセキュリティ環境が整っていることを従業員にチェック・報告させる(チェックリストの活用などが考えられます。)ことをルール化し、虚偽報告について懲戒処分の対象とするような就業規則の見直しも実践すべきです。
Web Lawyersでは、テレワークでの情報漏えいを予防するために、情報セキュリティ規程の見直しと組織体制構築を弁護士がサポートするサービスをご提供しています。詳しくは、以下のご案内をご覧ください。