1万人規模の“無制限テレワーク”体制を構築したヤフー セキュリティ対策はどう変えた?
ヤフーが従業員約7000人を対象に、回数制限やフレックスタイム制のコアタイムを廃止した“無制限のテレワーク制度”を10月1日に導入した。同社は2014年から旧テレワーク制度を導入していたが、新型コロナウイルス感染症の流行で、20年2月に原則在宅勤務へ切り替えていた。今回の新制度はコロナ下の緊急的な体制をこれからの働き方として正式に定めたものだ。
気になるのは、ヤフーのセキュリティ体制だ。コロナ禍で多くの企業がテレワークに舵を切ったが、緊急の対応とあってセキュリティ対策をしっかり検討できた企業はそう多くはないだろう。
そんな中、ヤフーは約7000人の従業員に加え、業務委託先や派遣社員など約数千人、合わせて1万人規模の従業員がテレワークで働くことを前提としたセキュリティ体制を築いた。これはafter/withコロナの働き方にあわせたセキュリティ対策を考える上で、一つの試金石になりそうだ。
無制限のテレワーク制度を策定するに当たり、ヤフーは何を考え、何を変えたのか? 同社CISO室セキュリティ推進室の石橋崇室長に聞いた。
第一に「端末の操作ログ取得を強化」
「無制限のテレワーク制度を始めるに当たって強化したのは、各端末の操作ログの取得強化です」と石橋室長は切り出す。
「全員がテレワークとなると、オフィス環境のような、常に人の目がある状況ではなくなります。すると不正を働く人が出てくるかもしれない。そうしたことがないように、貸与PCの操作ログをしっかり取れるようにしました」(石橋室長)
操作ログの取得を強化したのはコロナ禍の体制を始めてから。テレワーク制度自体は14年からあったが、今ほど厳密にはログを取得していなかったという。「当時はテレワークの利用頻度がそれほど高くはありませんでした」と石橋室長。
「会議となると基本的に会社に集まっていたし、個人的にはテレワーク勤務での会議は成り立たないと思っていました」(同)。しかし、20年には東京オリンピック・パラリンピックによる公共交通機関の混雑も予想されていたことから、当初からオリンピックに向けて一斉テレワークの準備はしていたという。「新型コロナもあり、前倒しで一斉に移行することに。結果として成り立っているので、全員でテレワークするのが重要なのだと思います」
しかしそうして全員がテレワーク体制に移行すると、その分社員一人一人の動きに目が届かなくなる。「ログを取るのは不正対策の意味もあるし、何かあったときに疑われた社員の身の潔白を証明するのにも使えます。内部不正の対策強化はオフィス勤務のとき以上にやっていかなければいけません」
接続端末は貸与PCのみ 情報区分も整理
テレワークでセキュリティ的に懸念されていることの一つが、社内システムにアクセスするためのVPNなどを狙った外部からの攻撃だ。コロナ禍で緊急的に社外からの接続ポイントを増やすと、標的型メール攻撃などで社員のうち1人でもIDとパスワードを盗み取られてしまえば、そこから侵入を許すことになりかねない。
昨今はBYOD(個人端末の業務利用)で個人用のPCからVPNなどを通じて社内システムにアクセスを許可する例もある。しかし、ヤフーはBYODを認めず、社内システムへのアクセスは会社からの貸与PCからしか認めていないという。
社内システムへのログインも、IDとパスワードの他にもう一つ要素がないとできないようにしている。「そういう意味で、IDとパスワードだけが漏れて内部へアクセスされることはあまり心配していません」(石橋室長)
社外からアクセスできる情報についても、同社ではいくつかの区分を設けている。「詳しくは明かせませんが、社内に完全に閉じ込めておくものか、あるいはクラウドストレージに上げてもいいものかなどはしっかり区別しています」
クラウドストレージは米Box社の「Box」を利用しているという。テレワーク制度の推進に伴い、オンプレミスの共有ファイルサーバから移行した。コミュニケーションツールは「Slack」や電子メール、Web会議は「Zoom」というのがヤフーが現在テレワークに用意しているツール群だ。
テレワーク体制のセキュリティで気を付けるべきこと
「基本的なことですが、社外からどこまでアクセスしていいかを定めること。無制限のテレワークだからといって、何から何まで社外からアクセスさせるわけにはいきません。守らなければならない情報を特定し、それ以外はある程度のリスクを許容して業務の利便性を上げていくことが大事です」。石橋室長はこのようなセキュリティの基本を積み上げることが重要と話す。
「社員それぞれの意識も大事です。ヤフーでは働ける場所を自宅に限っていないので、カフェで仕事しても構いません。しかし、扱う情報が機密情報であってもなくても、外で作業するなら周りの目を意識する必要がある。社内の情報を扱っていることは、テレワーク体制では特に意識すべきことです」
関連記事
ヤフー、10月に“無制限リモートワーク”へ移行 回数上限やフレックスのコアタイムを廃止
ヤフーが、同社の従業員を対象に、9月末でリモートワークの回数制限やフレックスタイム制のコアタイムを廃止すると発表した。
ウイルスには“ワクチン注射” 記録に残らない「Webスキミング攻撃」の可視化と対策の最前線
“見えないWeb攻撃”の一つである「Webスキミング」にどう対抗すればいいのか。CDNサービスを手掛けるアカマイ・テクノロジーズの中西一博氏が対策方法の最前線を解説する。
攻撃の認識すら不可能 Webサイトを静かに狙う「Magecart」攻撃の実態
Webからこっそりクレジットカードなどの情報を抜き取る「Webスキミング」攻撃。すでに自社で防御しているだけでは防げない攻撃手法も。CDNサービスを手掛けるアカマイ・テクノロジーズの中西一博氏がその実態を解説する。
“withコロナ時代”に求められる企業のセキュリティ体制 専門家が指摘する心構え
コロナ禍において、企業や組織はサイバーセキュリティをどう考えるべきか。これまでに挙げられた事例や有識者のコメントをまとめた。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。