オフィス“以外”の場所で快適に安全に働ける環境を整える――。働き方の多様化を実現するには、働く場所も多様化が求められる。不足する人材の確保にも、テレワークなど働く場所の多様性を提示することは対策の1つになる。さらに1年後に迫る東京2020への準備の側面も忘れてはならない。オフィス以外で快適に働ける「場所」にはどのようなものがあり、「セキュリティ」にどう留意したらいいか。

こうした課題と解決方法を整理できるセミナー「タイプ別サテライトオフィスの特徴と上手に活用するためのセキュリティ留意ポイントとは」が、2019年8月6日に東京テレワーク推進センターで開催された。30名を超える受講者が集まる熱気のこもったセミナーとなった。

会社でも自宅でもない“サードワークプレース”を整備せよ

「オフィスでの働き方の変化により社外で仕事をすることが増えているが、在宅勤務では条件によって集中できないことも多い。今、第3の働く場所としてサードワークプレースの必要性が高まっている」。こう語るのは、の日本テレワーク協会 サードワークプレース研究部会 部会長を務めるシーエーシーの齋藤学氏。「自由に働く場所を選択許容するにあたって――サードワークプレース活用推進と留意点」と題した講演で、第1の場所のオフィス、第2の場所の自宅だけでなく、第3の働く場所を整備することが、最も効率の良い働き方の支援につながることを示した。

「テレワークの実現方法として在宅勤務が注目されるが、週に1回ほど約10年にわたり在宅勤務を経験してきた立場からは、集中できるときもある一方で課題も多い。夏休みで子どもがいるため仕事にならない、周囲で工事があると集中できないといったものだ。会社のオフィスでも自宅でもない仕事環境として、サードワークプレースを用意できれば、状況や仕事の内容によって効率の良い場所を使い分けられるようになる」（齋藤氏）。

オフィス、自宅以外の場所を指すサードワークプレースは、シェアオフィスやコワーキングスペースのほか、喫茶店、カラオケボックス、公共スペースのロビーなどが該当する。利用の仕方は2種類。移動の合間などの「短時間利用」と、テレワークに終日利用する「長時間利用」である。短時間利用の場合は、時間単位で利用できる「ドロップイン」の形態が適している。長時間利用ではシェアオフィスやコワーキングスペースなどを契約したり、企業によっては自前のサテライトオフィスを設けたりするような場合もある。

齋藤氏は「サードワークプレースの形態は多様で、契約や料金だけでなく、複数人で会議できるスペースの有無やコミュニティの有無、電話やWeb会議などの可否なども選択の要件に上る。さらにセキュリティもまちまち」という。そうした中で、サードワークプレースを利用するに当たって何を検討すればいいのかについて、齋藤氏は（1）社内ルールの対応（2）場所と許可する業務の関係、（3）費用――の3点をチェックすべきだと指摘する。

まず（1）の社内ルールについては、就業規則とサードワークプレースでの勤務の整合性がとれるかどうかが検討のポイントになる。（2）場所と業務の関係は、サードワークプレースでテレワークを許可する業務内容や、人の属性、さらにサードワークプレースのセキュリティレベルなどに応じて許可される業務内容などを整理する必要があるということ。その上で、「どこで業務が可能なのか」と「どこで業務を行うと効率的なのか」をきっちりと見極めて、テレワークを活用することがポイントだという。（3）の費用では、サードワークプレースの費用を企業と個人がどのように負担するか、通勤費用との兼ね合いをどのように考慮するかを検討しなければならない。

セキュリティ面では、業務の内容と施設や設備との関係を整理する必要があるという。「ほとんどの業務はオープンスペースで行えるが、覗き見防止シートをパソコンに貼るなどの対応は必要になる。重要情報や機密情報を取り扱う際には、個室の必要性や、監視カメラ、入退館管理などのセキュリティ対策との兼ね合いも考慮する」（齋藤氏）。

こうした検討のポイントを整理した上で齋藤氏、「サードワークプレースでの業務をきっちりとイメージしてから使うようにしたい。トライアルから実地へのステップが必要になるだろう。しかし、東京2020はもう次の夏。テレワークを在宅勤務だけで対応しようと思っていても、実際にはお子さんの夏休みとオリンピック・パラリンピックの競技期間に重なり、自宅では業務効率が上がらないというリスクは高い。今からサードワークプレースの準備を進めておくことが大事だ」と直近の課題を語った。

技術、人、制度の三位一体でセキュリティを守る

サードワークプレース、その中でもサテライトオフィスなど共同利用型オフィスを利用する際に、どのようなセキュリティ対策が求められるのか。この問に答える形でセキュアIoTプラットフォーム（SIOTP）協議会 事務局長の白水公康氏による「共同利用型オフィスの利用において考慮すべきセキュリティ対策について」と題した講演が続いた。

白水氏も、仕事をする場所として「常勤事業所」のほかにテレワークの形態で「在宅勤務」「モバイルワーク」「サテライトオフィス」があると説明。「モバイルワーク」「サテライトオフィス」が、齋藤氏の講演で示されたサードワークプレースに含まれる形だ。その中でもシェアオフィス、会員制レンタルオフィス、一時利用コワーキングスペース、自社サテライトオフィスなど「サテライトオフィス」のカテゴリに含め、SIOTP協議会では今回のセミナーで利用者や運営する管理者にサテライトオフィスのセキュリティ対策について知ってもらいたいという。

サテライトオフィスのセキュリティを考える際に、白水氏は4つの脅威に注意すべきだと語る。

1つ目の脅威が、ID/パスワードの漏洩。誕生日などの推測しやすいパスワードの利用や、同じパスワードの使い回しなどが危険であることを改めて伝えた上で、「パスワードは簡単にハッキングされる危険性がある。1つは背後から肩越しに覗き見される“ショルダーハック”で、こうした人的なハッキングは情報漏洩の原因として多い。また、誰でもインターネット上などで入手できるツールを使うことで、パソコンに設定したパスワードなどは簡単にハッキングされてしまう」と警鐘を鳴らす。実際、デモではクラッキングツールが入ったUSBメモリーから起動したパソコンで、10秒ほどで3人分のパスワードが解析できることを実演した。

対策としては、パスワードは使い回しを避けるとともに、推測されにくく一定以上の長さを持つものにすべきとのこと。また、ID/パスワードだけでなく他の認証要素を加える多要素認証も効果があるとし、生体認証や端末が正規のものであることを証明するデバイス証明書を使った多要素認証を紹介した。

2つ目の脅威が情報機器の脆弱性。情報漏洩だけでなく、気づかないうちにデバイスが乗っ取られてサービス障害を狙ったDDoS攻撃の踏み台になるリスクがあることを指摘した。その上で、実際に設置されている監視カメラの映像が簡単にハッキングされて、居ながらにして画像を見られることをデモで示した。

「すでに国は動き始めている。総務省IoTデバイス脆弱性調査のNOTICEが2019年2月に始まり、東京2020に向けて危険なIoTデバイスの一掃を進めている。またIoT機器などの通信端末に対する『技術基準適合認定』、いわゆる“技適”ではセキュリティ要件を変更し、2020年4月に施行する。インターネットなどに直接接続される端末機器が対象で、アクセス制御機能、ファームウエア更新などの機能、出荷時のデフォルトパスワードの更新を促す機能がセキュリティ要件に加わる」（白水氏）。

脅威の3つ目は物理的な脆弱性。電話やWeb会議の音漏れ、パソコンの覗き見、離席したすきにパソコンにマルウエアを混入、放置した印刷物からの情報流出など、ちょっとした不注意が引き起こすものだ。不注意を起こさないような情報リテラシー教育の徹底と、覗き見防止フィルターの利用などの物理的な対策が求められるという。

脅威の4つ目としては管理体制の脆弱性を掲げる。技術的にサイバーセキュリティ対策を厳重にしていても、人のミスや運用の不備からセキュリティ事故が起こることは多い。セキュリティポリシーの制定やサテライトオフィス用ルールの策定、徹底、事故発生時のマニュアル制定などが対策にあるという。「対策を施した上で、テスト、レビューを繰り返すPDCAサイクルを浸透させることが大切」と白水氏は語る。

こうした脅威と対策を整理して白水氏は最後に、「IoTセキュリティの中でもサテライトオフィスのセキュリティを考えたときには、技術的なサイバーセキュリティ対策だけでなく、人的な情報リテラシー向上による事故の回避が必要であり、さらにその運用のためのルールや制度の整備が求められる。『技術』『情報リテラシー』『ルール・制度』を三位一体としたセキュリティリスク対策を施すことで、サテライトオフィスを活用したテレワークの実践、働き方改革の推進を安心・安全な形で取り組めるようになる」とまとめた。