新型コロナウイルス対策として、多くの企業がテレワークの導入を進めている状況ではありますが、テレワークをはじめるためのシステム環境を整えるには、これまでテレワークを取り入れていなかった企業ではそれなりの投資や期間が必要になります。
その投資コストと期間を縮めてしまうソフトウェアがNTT東日本と情報処理推進機構(IPA)の協力により2020年4月21日にリリースされました。
本ソフトウェアを会社で自分が普段使っている端末と自宅でインターネットに接続できる端末の双方にインストールすると、会社の端末に自宅の端末からインターネット経由で接続して、会社のシステムを利用することができます。
会社の端末がインターネット接続においてHTTPSを利用できるのであれば、会社のネットワーク設定を変更することなく利用できるのが特徴です。
要は、会社の端末がインターネット接続可能で、自宅にもインターネット接続ができる端末があればそれだけでシンクライアント環境が無償で構築できるのです。
しかも、インストールする際にはシステム管理者権限も不要という仕様のため、会社の端末のセキュリティ設定にてインターネット経由のソフトウェアダウンロードの制限がなければ、従業員は誰でも本ソフトウェアのセットアップができてしまうのです。
本ソフトウェアは実証実験として公開されているため、サポート対応はありませんが利用者同士で情報交換をする掲示板は開放されているそうで、少しPCを利用する知識があれば誰でも導入できてしまうでしょう。
現状は、テレワークをはじめたくともはじめられない企業が多いという状況のため、本ソフトウェアのリリースは非常に良い試みだと思います。
一方で、本ソフトウェアは利用者の善意に期待するところが大きいとも思うところがあります。
企業で働く従業員は当該企業のセキュリティポリシーに基づき行動するため、めったやたらにソフトウェアのインストールはしないとは思っております。
しかし、当該企業に恨みをもつ従業員がいた場合には、このようなソフトウェアを利用して情報の持ち出しをすることが容易にできてしまうことでしょう。
何故なら、本ソフトウェアが容易に利用できる環境にある企業であれば、情報の持ち出しを抑制する仕組みも当然のように整えられていないと考えられるからです。
テレワークを導入するということであれば、その時点で情報の持ち出しリスクは十分に高い状態にあることを念頭に導入しているとは思います。
従って、経営者はテレワークを導入する段階で、情報漏洩に対するリスクを飲み込んだのか、あるいは相応の防御策を取っていることでしょう。
しかし、テレワークを導入できていない企業が本ソフトウェアを利用することで経営者は覚悟も防御策も取る前に従業員にテレワークをはじめられてしまう可能性が高いのです。
本ソフトウェアを自社で利用してほしくない場合には、「組織による利用規制申請」をすることにより、自宅の端末(クライアント)から指定したドメイン(会社の端末:サーバー)へのアクセスを止めることができるような対策は用意されております。
しかし、企業のシステム担当者が本ソフトウェアの存在を認知していない場合には、利用規制申請の存在を当然知らないでしょうから、利用してほしくない企業にとっては非常に危険なセキュリティホールになりかねないでしょう。
また、会社の端末にインストールする本ソフトウェアには情報漏洩リスクを抑止する目的でファイル転送ができないバージョンも用意されておりますが、企業のシステム担当者の作業負荷を軽減するためなのか、このバージョンをインストールするかどうかの選択はエンドユーザにゆだねられているというか現状ではシステム管理者が制御できない仕組みになっております。
会社に恨みをもって自暴自棄になっているような従業員がいた場合には本ソフトウェアは非常に大きなセキュリティホールをあけるツールになってしまう可能性があるため、企業のシステム担当者は本ソフトウェアの存在を認知して、自社で利用可能な状態にするのか、しないのかを早急に判断した方が良いでしょう。
私としては、本ソフトウェアは現状テレワーク導入環境の整備を迅速に行うためのキラーツールであると考える一方で、企業システムのセキュリティをどのように担保するかが完全に企業側に丸投げされているツールだと捉えております。
自分で利用したわけではなく概要を読んだだけで実ツールの検証はしておりませんが、技術的というよりは、利用方法によりセキュリティリスクをはらんでしまっているツールであると言わざる得ません。
ちょうど最近話題のZoomのようなものですね。間違った使い方をされると無用のセキュリティリスクを呼び込みます。
IPAが絡んでいるのであれば、もう少し企業のセキュリティリスクを考慮できなかったのかとは思いますが、現状は日本人の善性を信じてリリース速度を優先するというところに舵をきったのですかね。
本ソフトウェアを利用する上では中継サーバを介したものになるため、特に情報は見つけられておりませんが、本ソフトウェアを利用すると中継サーバには相応の操作(通信)ログは残されていると思われます。
従って、悪いことをすれば後からログトレースすることはできるのではないかと考えられます。
と考えていたら、FAQに中継サーバでは短期的な記録しか残らないと記載されていた。
つまりリスク覚悟の悪者は本ツールを悪用して機密情報を入手することもできますし、会社内の端末にアクセスすることにより、別のセキュリティの脆弱性をつく可能性もあるかもしれません。
企業システムは外からのアクセスには相応の対策をしていますが、内部からの攻撃には弱いことも多いです。
そういう内部セキュリティが弱いと思われる企業は一旦は本ソフトウェアの利用を申請してとめておくことをお勧めします。
っていうか、なぜシステム管理者権限がないとインストールできないように本ソフトウェアを開発しなかったのかが疑問です。
一応FAQにその説明もありますし、まずシステム担当者がシステム管理者権限で本ソフトウェアをインストールすれば、一般ユーザのシステム利用者は設定変更ができなくなるということですが、このインストールの先を越された時点でアウトですね。
確かに企業のシステム担当者は現状多忙かもしれないが、このソフトウェアを従業員に勝手に利用されることの方が後々忙しくなる可能性が高いでしょうし、従業員に先にインストールされる可能性についてはFAQでは考慮されていなかったなぁ・・・
できれば、本ソフトウェアのことをシステム担当者が気づかなくても、水際で防げる対策を取っておいてほしかったですね。
まだ、本ソフトウェアの利用について何か問題が起きているわけでもありませんが、各社が新型コロナウイルス対策で様々な支援策を講じているものの利用についての判断は的確に行っていきたいところです。
NTT東日本やIPAがリリースしているソフトウェアなので、私の観点がズレていて杞憂であれば良いのですが、本ソフトウェアについては自社では利用しませんが情報はしばらくチェックしておこうと思います。
