撮影:赤松洋太
デザイン:小谷玖実
編集:君和田 郁弥
NewsPicks Brand Designにて取材・掲載されたものを当社で許諾を得て公開しております。
2022-03-07 NewsPicks Brand Design
リモートワークの普及により、自宅やカフェなど場所を問わずオフィスネットワークや企業の重要データにアクセスする機会が増えている。それは同時に、不正アクセスによる情報漏洩など、セキュリティ上の「脅威」が増大していることを意味している。
脅威は、外部からのサイバー攻撃だけではない。どれだけ強固なセキュリティ対策を施したとしても、従業員のリテラシー不足や不注意などによる情報漏洩が起きる可能性は否定できない。介在する「人」に脆弱性があれば、それは大きな脅威になり得るのだ。
セキュリティ対策における、最後の壁となる「人間の脆弱性」といかに向き合えばいいのか。その壁を突破するAIソリューション「Deep Percept for remote work」共同事業責任者の安藤大志と小坂実に話を聞いた。
見落とされていた「人」の脆弱性
──コロナ禍で半ば強制的にリモートワークを迫られたことで、企業のセキュリティにおけるさまざまな問題が顕在化しました。
安藤
コロナ禍を機に、これまで企業のシステムに守られてセキュリティリスクを意識していなかった人たちが、自宅からネットワークを利用するようになりました。
サイバー攻撃の起点になる「脆弱性」が増えたことで、悪意のあるハッカーたちにとっては、まさに絶好の機会が訪れたわけです。そんななか企業もいよいよセキュリティを経営課題と捉えるようになり、以前と比べれば対策に取り組む企業はとても増えました。
ですが実は多くの企業がある「リスク」を見落としている傾向にあります。それが、アナログな手法であるがゆえに、盲点になりやすい「盗撮」や「のぞき見」のリスクです。外部からの攻撃や、データのコピー、メールなどの送受信であればログが残るため、まだ追跡できる余地があります。
しかし、「盗撮」や「のぞき見」で情報漏洩が起きたとしても、ログを正確に追えないためどこから情報が漏れたのか分析が難しい。カフェやコワーキングスペースで仕事をする機会が増えたことで、スマートフォンによるPC画面の「盗撮」や、第三者の「のぞき見」による情報漏洩が新たな脅威として生じているわけです。
──とはいえたまたま訪れたカフェやコワーキングスペースで、「盗撮」や「のぞき見」を企む攻撃者と出会う確率はそう高くないのでは?
小坂
それはその通りですが、この脅威の対策が非常に難しい理由は、必ずしも故意的に起きる問題ではないということです。
──どういうことでしょうか。
小坂
例えばPCの前から、本人が不在になるタイミングがありますよね。こうしたタイミングで第三者が目の前の人を撮影したとき、実はその写真の奥に開きっぱなしのPC画面が映り込んでいることがあります。
仮にこの写真を第3者がSNSにあげてしまった場合、世界中にPC画面に映る情報が拡散されてしまうわけです。たとえ解像度が粗かったとしても、いまは簡単に技術で鮮明にできます。
実はこうした画像を、特殊なアルゴリズムや技術を駆使して発見しようとする攻撃者もいるわけです。
これと同様に、第三者ではなく、従業員が意図せず情報流出を起こしてしまうこともあります。リモートワークが一斉に始まった当初、「仕事をしていたら、猫がデスクや膝の上にきました」というようなリモート環境下の仕事風景をSNSに投稿する人が増えました。このような投稿写真をよく見てみると、実はPC画面が写ってしまっている。
どんなに強固なセキュリティ対策を施したとしても、こうした「人間の脆弱性」を攻略できない限り、十分に対策ができているとはいえない。
意図しない気軽な行動によって、企業全体に致命的なダメージを与えてしまう。人の脆弱性は見て見ぬ振りをされがちな問題ではありますが、リモートワークの普及により決して軽視できない脅威となっています。ソフトウェアの脆弱性だけではなく、「人間の脆弱性」といかに向き合えるかが、昨今のセキュリティ対策における最大のポイントとなっているのです。
完璧な「対策」は存在しない
──人間が持つ脆弱性と向き合うためには、具体的にどのような対策が必要になりますか。
小坂
「何も信頼しない」を前提に対策を講じる、「ゼロトラスト」という考え方があります。
これまでのセキュリティ対策は、社内ネットワークは安全、外部ネットワークは危険、という考えのもと、内部と外部の境界線のみにセキュリティ対策を行うという方法が主流でした。社内ネットワークを許可された人は、権限管理によるアクセス制御はあるものの信頼され、情報アクセスが許可されます。
しかし、パスワードの流出によるなりすましや社員の不正によって侵入された場合は、取れる対策がなくなってしまうという問題がありました。
そこで「過去の認証」を信頼し続けることはリスクであるという前提のもと、社内外問わず全てのアクセスを信用せずに、常に監視とデバイスおよびネットワークの防御をしようとするのが「ゼロトラスト」です。全てのログを監視・分析することで、第3者のアクセスを検知・分析することが可能になります。
一方で、「完璧」なセキュリティ対策というものは存在しません。当然監視をすり抜けてしまうこともあります。
そうなったとき、単純なサイバー攻撃であればログを分析しやすいのですが、「盗撮」や「のぞき見」、「なりすまし」などの脅威はアナログな手法であるがゆえに、ログを正確に辿ることが難しい。加えて、発覚後に情報漏洩を分析することとなり、受け身の対応となってしまいます。
その課題に着目して、私たちが開発したサービスが「Deep Percept for remote work」になります。Webカメラから得られる情報をAI分析し、本人確認することでなりすましを防ぐとともに、のぞき見や盗撮を検知します。それにより能動的な対応が可能になり、情報漏洩のリスクにすぐに対処することができます。
──なぜ金融機関向けにDXやシステム開発を行うシンプレクス社から、「Deep Percept for remote work」のような自社サービスが生まれたのでしょうか。
小坂
世間的にはリモートワークが普及してきた一方で、特に高い情報セキュリティが求められる金融機関では、そうした働き方に移行するのは簡単ではありません。
ただもちろん各社挑戦はされているなかで、ここでまた新たな問題が生じていました。それが「社内リモート格差」です。
ある部署はリモートワークできるけど、機密情報を扱うような部署では出社せざるを得ない。例えば顧客情報を扱うカスタマサポートの部署などでは、リモートワークを導入することは難しい。
そのことに不公平感を覚える従業員の方々も増えていました。とはいえ企業としてもデータを保護する責任があり、「社内リモート格差」を前に八方塞がりな状況ではありました。そうした声を聞いて、何とかできないかと思ったのが、そもそものきっかけです。
安藤
昨年の緊急事態宣言下で、政府からは企業にテレワーク実施率70%以上を推奨する声明が発表されました。
機密情報が多く、全社的なリモートワークに踏み切れていなかった金融機関にとっては、まさに緊急事態です。
もし情報漏洩が起きたとすれば、軽傷では済まされない。とはいえリモートワークの普及も加速させないといけない。その狭間のなかで葛藤するお客様から、普段から直接お付き合いしている私たちに、そのような課題を相談いただく機会が増えていました。
小坂
その期待に何とか応えたいと考え、手探りながらもサービスの開発を進めたのがDeep Percept for remote workです。シンプレクスとしても、今後さらなる成長を遂げるためには、自社サービスの開発は必要不可欠だった、という理由もあります。
Deep Percept for remote workにより、これまでセキュリティの不安があったために、リモートワークを導入できなかった企業が、場所に縛られずに、自由な環境で仕事ができるようになる。
ただそれだけではなくて、これまで介護や育児のような家庭の事情のために仕事を辞めなければならなかったり、やりたい仕事を選択できなかったりするような方々が、家でも仕事ができるようになる。そういう方々の手助けにもなりたいと考え、開発に踏み切りました。
個人のプライバシー保護が企業を守る
── 一方で、盗撮やのぞき見を検知するというと、常にカメラがついている状態です。従業員側は「監視されている」と感じてしまうのでは?
安藤
その点に関しては誤解をされやすいポイントですが、「Deep Percept for remote work」は管理者がのぞき見をするような常時監視ではありません。
問題を検知したときのみ、写真が撮影される仕組みになっています。その写真にも顔とスマホ以外は、ぼかしを入れる設定が可能です。
あくまで情報漏洩に対するセキュリティなので、上司が部下の勤務状況をのぞき見るようなことは不可能になっています。実際に使う方のシチュエーションや発生しうる課題を突き詰めて考えるようにしているので、従業員側がされたら嫌なことに対しては、最大限配慮しています。
小坂
プライバシーへの配慮は、従業員を守るためだけではなく、実は企業を守ることにも繋がります。
例えば従業員をカメラで監視している上司が、「あの人の部屋は○○だった」「あの人の服装が○○だった」なんて他人に気軽に話しただけでプライバシーの侵害です。組織のエンゲージメント低下や企業のブランド価値毀損につながりかねません。
また盗撮検知というと、従業員が悪いことをする前提だと考えてしまう方も多いのですが、このサービスは悪意のある第三者からの攻撃や、意図しない流出を防ぐことが目的です。
導入することで働き方の選択肢が増えて、従業員を自由にするものです。だから私たちの意図とは違う使い方を防ぐためにも、闇雲に機能開発するのではなく、目的に合わせた開発をしています。
加えて、導入を検討している企業の方々には、「従業員を疑う前提で運用すると失敗します」とお伝えするようにもしています。
──実際、企業からはどのような問い合わせや反応がありますか。
小坂
金融業界だけではなく、幅広い業界からお問い合わせいただいています。膨大な機密情報を扱っていたり、顧客情報保護への感度が高かったりする企業様からのお問い合わせが多いですね。
安藤
予想外だったのは、コールセンターからのニーズが多かったことです。コールセンターはクレーム対応などがあるため、人材の入れ替わりが激しく、採用も難しい。加えて、短期案件に対応するオフィス物件の確保も難易度が高い。
さらにコロナ禍で「事業所内での密を避けたい」と考える人が増えました。しかし個人情報を多く扱う業務なので、リモートは推奨しにくい。
でも「Deep Percept for remote work」を導入すれば、従業員のリモートが可能になります。加えて、リモート環境なので全国どこからでも採用が可能になります。
またコールセンターでは、事業所で働く場合も、情報漏洩の観点から携帯電話の持ち込みが禁止のところも多い。そうするとお子さまのいる方は、保育園などからの電話にすぐ対応できず困っていました。
こうした問題の解決にもつながり、コールセンターの業界においては非常に革新的なことだったようで、私たちにとっても想定外の嬉しい反響でした。
技術の力で、人を自由にする
──「Deep Percept for remote work」を通じて、今後どのような価値を提供していきますか。
安藤
少し大きな話になってしまうのですが、働き方改革が叫ばれている中で、正直に言って、何か改革されましたか?と感じていたところがありました。
そんななかコロナ禍をきっかけに、あらゆる企業や個人が強制的に「働き方」について考えさせられました。そうしてリモートワークの導入が加速した一方で、実は「リモートワークはできない」と思い込んでいる企業はまだ多いのが現実です。
そうした企業の思考や価値観そのものを、「Deep Percept for remote work」を通じて変えていきたい。この機会を逃さず、「リモートワーク」という一つの選択肢を通じて、あらゆる人が多様な働き方を実現できる社会を目指していきたいと考えています。
小坂
これからの少子高齢化時代、年齢や家庭の事情などで、在宅勤務を選べる環境がないと、自身のキャリアを諦めてしまう人が増えてしまいます。
でも職種に関わらず、どんな企業の方も雇用形態を変えずに在宅勤務を選べるようになれば、自分のキャリアを諦めたり、仕事か家庭かの二者択一の選択肢から解放されたりするはずです。「選択肢」が一つ増えるだけで、いくつもの可能性が広がります。
本来テクノロジーは、人と人との「つながり」をより良いものにするためにあるはずです。「Deep Percept for remote work」を通じて、これからもよりあらゆる人の働き方の解放を目指し、ご支援していきたいと思います。
PROFILE
共同事業責任者
共同事業責任者