トレンドマイクロは世界27か国、1万3,200人のテレワーカーを対象に行った聞き取り調査「Head in the Clouds」の結果をまとめており、紹介する。

新型コロナウイルス（COVID-19）の世界的なパンデミックの感染被害は「コロナ禍」と呼ばれるほど、我々の生活に大きな影響を与えています。世界各地で都市封鎖（ロックダウン）や外出制限が行われ、多くの企業組織では従業員をテレワークに順応させざるを得ない状況となり、多くの従業員が自宅からの勤務を余儀なくされています。
このコロナ禍による勤務体系の大きな変化に合わせて、多くの企業組織はテレワークの恒久化を本格的に導入する可能性があります。これが現実化した場合、サイバーセキュリティに大きな影響を与えることになります。企業組織のセキュリティ対策において従業員、つまり「人」が最終的な脆弱性となることはしばしば指摘されていますが、在宅勤務で働く従業員は、さらに大きな責任を負うことになるでしょう。

残念なことに、トレンドマイクロが行った調査では、ロックダウン中に多くの人がサイバーセキュリティに対する意識を向上させているにも関わらず、セキュリティポリシーに対する理解不足やリソースの制約により社内規定を破っていたことが明らかとなっています。
ユーザのセキュリティ意識を向上させる目的で訓練強化を検討する最高情報セキュリティ責任者（CISO）は、訓練対象者が持つ個人の特徴に合わせてセキュリティ戦略を割り当てることで、訓練における有効性を向上させることができます。

今回の調査から見出した事実

今回の調査「Head in the Clouds」の結果から、在宅勤務の状況に置かれた従業員には以下のようなセキュリティ意識があることが明らかになりました。

• 72％の回答者が所属組織のサイバーセキュリティポリシーに意識を向けており、85％はIT部門の指示や指導を真剣に受け止めていると回答
• 81％は自身が組織内のサイバーセキュリティにおける責任対象の一部であることに同意
• 約3分の2（64％）は、非業務用アプリを業務用デバイスで利用することがセキュリティ侵害の危険性を高めることを認識

しかし、これらのセキュリティ認識があるにもかかわらず、多くの従業員は安全性よりも生産性を優先して業務に当たっていることも明らかになっています。

• 半数以上（56％）は、業務用デバイス上で使用許可のないアプリを使用
• 66％が企業データを認可のないアプリ上にアップロード
• 39％が「頻繁に」または「常に」個人用デバイスから企業データにアクセス
• 29％は、IT部門が講じる対策は「役に立たない」と感じており、非業務用アプリを使用して生産性を上げることは問題ないことと認識

このような背景から許可されていない外部サービスの利用、いわゆる「シャドウIT」が発生し、サイバーリスクレベルを上げる原因となります。これは、ユーザのセキュリティ意識の向上を目的とする訓練への現在の取り組みが十分でないことも示唆しています。実際多くの従業員は、ベストプラクティスの最良のあり方について認識しているようですが、順応しきれていないように見えます。

＜監視ツールがシャドウITを加速させる！？＞
昨今テレワークの見える化目的でPCの操作ログ取得ツールを利用する企業も増えています。
建前は「サービス残業を抑制し、従業員の健康を守ること」。
しかしその実態は従業員の作業監視というのが本音でしょう。

従業員がどう働いているのかを知ることは企業側には必要な要素です。しかしながら、それは従業員を守るために使われるべきものではないでしょうか。
このようなツールで従業員がさぼっていないかの監視をし始めると、そのための管理工数が増えていくことで生産性が下がることなり、結果として”働きにくい職場”になることもありますので注意が必要です。
（できるだけ管理を不要とする働き方を模索することがテレワークには必要であり、そのためには企業は評価方法や勤務時間の見直しを、従業員は個々に成熟することが求められます。しかしながら、大前提としてオフィスでの就業とは異なり、テレワークにおける働く環境というのは十人十色だということを企業は認識した上で制度設計をするべきでしょう。）

そして、このような監視ツールの導入により社給PCの使用が制限されることで、意識調査の結果にもあるようにデータの持ち出しや外部サービスの利用などにつながり、セキュリティリスクは高まってしまうのです。

このようなケースを防ぐための”正解”はありませんが、企業は従業員のパフォーマンスを最大化するための働き方とは何かを模索し続け、従業員はその生産性を最大化するための努力をし続けなければならないのではないでしょうか。

「まずはやってみなはれ！」そういう気概のあるトップマネジメントが成功のカギかもしれません。

セキュリティに対する4つの認知的特徴

次に、トレンドマイクロがテレワークのセキュリティについて行った研究について説明します。
トレンドマイクロは、英国エッジヒル大学のサイバー心理学者Linda Kaye博士に、人の行動に基づいた4つの特徴「心配性な人（Fearful）」、「慎重な人（Conscientious）」、「無関心な人（Ignorant）」、「無謀な人（Daredevil）」を元に、セキュリティ意識の分析を依頼。
この４つの認知的特徴について、以下のようにインフォグラフィックにまとめている。

図：セキュリティに対する4つの認知的特徴

この4つの認知的特徴を元に、セキュリティ訓練を実施する際に注意すべき点もまとめています。

心配性な人に対しては、トレンドマイクロの「Phish Insight」のようなフィッシング模擬訓練ツールを活用することで、セキュリティ管理者や訓練指導者からのリアルタイムなフィードバックにより有益な知識を得ることができます。

慎重な人の場合はそれ程多くの訓練を必要としませんが、良い行動の模範者として他の部署の「仲間」とチームを組む際にも力を貸してくれます。

無関心な人を訓練に参加させ続けるには、ゲームの要素を取り入れたゲーミフィケーション技術や、実際のサイバー攻撃を模範してデザインされたシミュレーション演習が効果的です。もしくは、危険な行動に出た場合に待ち受ける結果を正確に理解するために追加訓練が必要になる場合もあります。

無謀な人が、おそらく最も難儀することでしょう。彼らの過ちは無知からくるものではなく、他人から認められたいという承認欲求からくるため、企業組織は、コンプライアンスを促進するために表彰制度を導入しましょう。過度な状況下においては、データ損失の防止策およびセキュリティ管理体制を強化して、彼らのリスクある行為を軽減させる必要があります。

セキュリティリーダは、サイバーセキュリティにおいて自分と同じセキュリティ意識を持つ従業員は二人といないと理解することで、訓練指導における細かな違いを調整できるようになります。

このように従業員の認知的特徴を4つに分ける場合は、多くの組織で今日実施される万人向けの訓練を全員に実施するよりも、従業員の特徴に合わせた教育指導法を確立する必要があります。
詰まるところテレワークでは、従業員とそのチームとの間に大きな信頼関係が築き上げられていることが重要です。
コロナ禍が終息を迎え、実際的にオフィスでの業務が許可された後も継続してテレワークを行うには、テレワーク環境下でも業務をしっかりと遂行できるという信頼関係を維持しておく必要があります。

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/25968