2020年サイバーセキュリティ特別企画
「地域のキーパーソンに聞く、新型コロナ対策としてのセキュリティ」
立命館大学 上原 哲太郎 教授

　情報科学を基礎から学ぶカリキュラムを提供し、情報化社会のニーズに対応できる高度な実践能力をもつ人材の育成を目指す立命館大学で教鞭に立つ傍ら、京都府警察サイバーセキュリティ戦略アドバイザー、芦屋市最高情報統括責任者(CIO)補佐官なども務める、上原 哲太郎 教授に、新型コロナ対策におけるサイバーセキュリティ対策の勘所を聞いた。

　急遽業務のクラウド化を進め、なんとかテレワークを実現している例が多く見られます。また、従来からテレワークを行ってきた企業も、これまで在宅では許されてこなかった業務を特別にテレワーク可能にした例があります。いずれの企業も、まだまだテレワークを含めた業務をどのように組み立てると効率的になるか試行錯誤している状況ではなかろうかと思います。テレワークの実現や業務体制の変更に伴い、既存のシステムを改修したり、ネットワークを設定変更したり、遠隔会議や文書共有をはじめとする新たなシステムを急遽導入したりした結果、セキュリティ上のリスクは高まっているはずです。現時点では業務を安定させることに精一杯な組織が多いと思いますが、本来はそれと同時に業務体制変更に伴うセキュリティ対策上の大きな抜け穴が出来ていないか、目配りも常に怠ってはなりません。そのような目配りが出来る人材が確保できない組織は、ちょっと心配ですね。
　2018年1月に、首都圏で大雪が降り、仮想通貨交換所のCEOが社員全員テレワークに急遽切り替えたことをTwitterで呟いたその日に、その交換所から巨額の仮想通貨の盗み出しが行われた事件がありました。テレワークが急に行われた組織は、サイバー攻撃者にとっては格好の標的になっている可能性があります。

　今まで社内LANという安全な環境で守られていた情報が、さまざまな場所からアクセス可能になったことで増えたリスクに気をつける必要があります。そこで、文書ファイルやメールといった業務の情報を、今誰が見られるのか、編集できるのかという「アクセス権」という考え方を改めて意識するべきだと思います。アクセス権の要となるのはパスワードです。フィッシングによるパスワード窃取や、メール中のURLなどを使いアクセス権を奪おうとする攻撃に一層の注意が必要です。この際、多要素認証を導入するのもいいでしょう。
　また、業務上、処理が済んだデータにいつまでもアクセスできる人はいないでしょうか？在宅の担当者個人のパソコン内に業務データがどんどん蓄積されるような運用になっていないでしょうか。業務のファイルは会社が管理するシステムに保存し、個人パソコンからは作業が終われば消すということを徹底しましょう。シンクライアント等の導入をこの際考えてもいいと思います。
　人命を守るため、今回はテレワーク推進に伴い増えたセキュリティリスクは許容する必要があるでしょう。この難局を皆で乗り切った後に、安全にテレワークを行うノウハウが社会に蓄積して、働き方改革に繋げられるといいですね。