オフィス移転×スマート化の落とし穴 ～セキュリティ対策の盲点を知る～

スマートオフィスとは、単に新しいだけでなく、IoTやAIなどの最新技術を活用して、従業員の生産性や快適性を高め、運用を効率化するオフィスを指します。このコンセプトは、企業の先進性を示すブランディング戦略としても有効です 。いま、オフィスを作るときや移転においてはこのスマートオフィスの考えをいれる企業が多くあります。

しかし、こうした華やかな「光」の部分には、必ず「影」が存在します。そして、この「影」、すなわちサイバーセキュリティのリスクにどう向き合うかが、最終的に投資効果を最大化するための重要な鍵となります。これらを４章にわけて説明していきます。

スマートオフィス化を通じて企業が得られるブランディングチャンスとして、設備だけではなくシステム自体も更新をかけて最新トレンドを活用した対応を行うことが増えています。それに関して使われる単語を記載してみます。

DX化、クラウド化、IoT対応、ハイブリッドワーク対応、フリーアドレス、オープンコミュニケーション　そしてAI

これらへの取り組みは、単なる業務効率化に留まらず、柔軟な働き方を推進し、オープンな企業文化を持つ、先進的な企業であることを社内外に示す絶好の機会となります。

現在業務している人以外に、優秀な人材を獲得・維持するための戦略にもなります。

学生の企業就職活動において重要視されるものとして、「働きやすさ」が上位にあげられます。また、テレワークが進んだ会社でも従業員同士が実際にあってコミュニケーションをしてほしいものですが、出社理由にもその投資は有効といえます。

スマートオフィスがすべてプラスかというと現実的には、その光には影の部分が発生します。よくある例として、経営層が「未来への投資」としてスマートオフィスへの展開を捉えているのに対し、現場の従業員や取引先は、目先の「変化」に対して不安や不満を感じてしまうという、立場の違いによる認識のズレが発生することがあります。

• 経営層の視点
  • 導入直後に、「未来を見据えて将来や従業員の働きやすさに投資したのに、なぜその良さが伝わらないのか」というジレンマを感じます 。
    
• 従業員や取引先の視点
  • 未来のビジョンよりも、目の前の業務に与える「効果」と「変化」に不安を感じがちです 。例として、うまくこれらに対応できないと次の給与などの待遇に影響が出るかもしれないからというものも含まれます。
  • 従業員の不満
    • 新しいシステムによって手順が増え、かえって不便になったと感じる 。
    • フリーアドレスの導入が面倒だと感じる 。
    • 結局は「管理側の都合」で導入されたものだと捉えてしまう 。
  • 取引先の反応
    • オフィスが綺麗になっても自分たちには関係ないと感じる 。
    • 「効率化したなら値下げしてほしい」といった要求が出てくる可能性がある 。
    • DX化への協力で、情報提供の手間が増えることを面倒に感じる 。

このように、良かれと思って進めたスマートオフィス化が、意図せずして関係者の不満や負担に繋がってしまう危険性がありますが、これらは発生しやすいものとして想定内にとどめておく必要があり、対策もたてやすいものとなっています。

更にこのような「変化」が、どのようにして具体的なサイバーセキュリティ上の「脆弱性」を生み出し、攻撃に結びつくのかを説明します。

オフィスが新しくなることで導入される以下の4つの要素は、新たな脆弱性を生む原因となり得ます。

• 新しい機器 　　　　
  IoT機器や新しいシステムに必要な機器などいままでなかった種類の機器が導入されるようになります。
• 新しいシステム
  クラウドやAIなどを活用した自動化や効率化なども意図されたシステムが導入されるようになります。
• 新しいプロセス
  関係者間の阿吽や分担で行われてきたものがシステム化で手続きや情報入力を自分が対応することが増える場合があります。
• 新しい働き方
  自由な座席やテレワーク対応とともにIT環境の変化がでてきます。

これらの変化は、3種類の観点で脆弱性が発生し、それぞれの脆弱性にはいくつかのサイバー攻撃の脅威にさらされる可能性があります。

• 脆弱性の種類
  • セキュリティの脆弱性 ：システムや機器そのものの技術的な弱点。
    • 不正アクセス、マルウェア感染等
  • 業務継続の脆弱性 ：障害発生時に事業が止まってしまうリスク。
    • フィッシング攻撃、ビジネスメール詐欺
  • 組織・人間の脆弱性 ：ルール変更や不慣れからくる人的なミスや油断
    • 設定ミス・誤送信、ソーシャルエンジニアリング攻撃。

新しい環境への移行期は、技術的な問題だけでなく、人の不慣れやプロセスの混乱といった「組織・人間の脆弱性」が特に狙われやすい時期にもなります。

従来の場所でのスマートオフィスへ変貌する場合、特に新規のオフィスを借りて実施する場合には、通常のレイアウト変更のレベルと異なり、特有の問題点が発生します。

• ブランディング優先のアピール点重視: 経営層やプロジェクト推進側が、対外的にアピールしやすい華やかな機能（光の部分）を優先してしまう傾向があります 。
• スケジュールの絶対性: 「何月何日に移転する」というスケジュールが絶対であるため、問題が見つかっても「後で対応する」ことになりがちです 。
• 現業務にプラスアルファの負荷: 担当者は通常業務に加えて移転プロジェクトのタスクを抱えるため、時間的・精神的な余裕がなく、またその中でのイレギュラな問題も発生するため、セキュリティのような細かい部分まで手が回りにくくなります 。

これらの問題が重なることで、「問題があると分かってはいるが、今は進めるしかない…」という状況に陥りやすく、セキュリティリスクが放置される原因となります 。

そして、光の部分が優先されるのはある程度やむを得ない側面もありますが、重要なのは、セキュリティリスクが一時的な課題としてではなく、現実には放置されやすいという点です。そこがまさに、攻撃者に狙われるポイントとなります。

狙われるとどうなるかについて検討してみます。

プロジェクトが計画通りに進まないと、「光」、つまり目に見えて分かりやすい機能の実現が優先されがちです 。その結果、セキュリティ対策のような「影」の部分は「後でやる」とされ、そのまま忘れ去られてしまう危険性があります 。

• 「光」の問題が起きた場合：
  • システムが少し使いにくい、一部の機能が使われないといった問題は、従業員の「慣れていないから」という不満レベルで済み、事業継続に大きな影響はありません 。目に見えて「動いている」という事実が効果的に見えるためです 。
• 「影」の問題が起きた場合（放置のまま）：
  • ひとたびセキュリティインシデントが発生すると、その影響は甚大です 。経営陣の投資判断の甘さや「移転の失敗」という評価に繋がり、企業の未来に対する不安を増大させ、事業継続そのものに大きな影響を与えます 。

使い勝手の問題は影響が限定的であるのに対し、セキュリティの問題は企業の存続を揺るがしかねないということです。このリスクの非対称性を理解することが極めて重要です。

実際にどのような形でセキュリティインシデントに繋がるのかを、具体的なケーススタディを説明します。

事務所に新しく設置したWebカメラの映像が、パスワード設定していたにも関わらず、外部から閲覧可能な状態になっていた

• 原因:
  • 初期設定を変更していなかったこと。「最初からパスワードが設定されていた」ため安全だと思い込み、初期設定のまま利用
  • その他の設定もデフォルトで必要なものは設定されていると思い利用
• 対策: IoT機器の初期設定は必ず変更することが基本です 。初期設定は安全性よりも動作することが重点なため、セキュリティの設定は弱いと考えておく必要があります。

ここでは、オフィスの移転や新拠点開設といったイベントそのものを悪用する、巧妙なフィッシング攻撃やビジネスメール詐欺（BEC）の事例を紹介します。攻撃者は企業の公開情報や取引関係を巧みに利用して、金銭をだまし取ろうとします。

■ある企業がオフィス移転を控えていたところ、その取引先に対し、移転をかたった「請求書送付先の変更依頼」といった偽のメールが攻撃者から送られて騙される寸前であった

• 原因: 企業のウェブサイトなどで、移転先の情報と主要な取引先を公開していたため、攻撃者がそれらの情報を悪用して信憑性の高い偽メールを作成できました 。
• 対策: このケースでは、営業担当者が一度は騙されたものの、管理部門のチェック体制が機能したため、実害を防ぐことができました 。多重のチェックプロセスが非常に重要です。

「クラウド」や「ゼロトラスト」といった最新のセキュリティ用語に対する思い込みや誤解が引き起こしたインシデント事例です。

■オフィスの刷新に合わせて、新たに「クラウド」上に構築した「ゼロトラスト」対応の最新システムを導入したにもかかわらず、不正アクセスを受け、ランサムウェアの被害にあった

• 原因:
  • 直接的な原因は、データセンターのサーバーが誰でも外部からアクセスできる状態になっていたという、単純な設定ミスでした。
  • ベンダーから「この製品を入れれば安全」と説明され、それを鵜呑みにして設定を見直ししていなかった
• 対策: 用語のイメージだけで判断せず、導入するシステムの機能や責任範囲を正しく理解し、適切な設定を行うことが不可欠です。 特に、セキュリティの実現には「これを入れれば終わり」という魔法の製品は存在しないことを肝に銘じる必要があります。

新たなものを導入する場合に、それらを判断できる力（支援でもよい）を持ち合わせていなくて、言われたままに良いほうに物事を解釈する人は、現実に存在するセキュリティの落とし穴に自ら足を踏み入れることになります。特にオフィスはIT専門家というよりも管理系の人の関与が多いためにこのような傾向になる事例が多くあります。

• 「最新の技術の製品はなんでも対応しているはずだ！」
  • 最新技術が必ずしも安全とは限らないという思い込み
• 「パンフレットに安全が強調されているので安心！」
  • マーケティング文言をどんな環境でも適用される仕様という思い込み
• 「クラウド利用だから安全だ！」
  • クラウドは安全なので推奨の設定や運用で安全という思い込み
• 「デジタル管理の徹底で安全だ！」
  • デジタル化はAI含めて新たなリスクに対応できるという思い込み
• 「これで好きなところで情報を利用して仕事ができる！」
  • 利便性の向上とセキュリティ責任は表裏一体であることへの無頓着

これらの甘い見通しが、3つの具体的な落とし穴の背景に潜んでいます。

（1）IoT機器の落とし穴

多くの利用者が陥りがちな「初期設定」「安全性確認」「ネットワーク設計」の3つの観点から、問題点があげていきます。

・初期設定での運用

• 初期ID・パスワードは決して秘密の情報ではなく、広く知れ渡っていると考えなければなりません 。
• 製品の初期設定は、まず「動作すること」を優先しているため、セキュリティは考慮されていないことが多いです 。

・安全性の未確認

• 多忙などを理由に、説明書や契約書を細かく確認しないまま導入してしまいがちです 。
• パンフレットなどに単に「安全」と書かれているだけで、その根拠を確認せずに安心してしまうのは危険です 。

・ネットワーク設計の不備

• 新しいIoT機器を、既存の社内ネットワークに追加した際の影響（リスク）を確認しないまま接続してしまうケースがあります 。
• IoT機器が収集したデータのクラウド上の保存先が、日本国内なのか海外なのかといった点を確認していないことがあります 。

（2）クラウド安心神話の落とし穴

「クラウドだから安心」という根拠のない神話を信じ込んでしまう「クラウド安心神話の落とし穴」です。クラウドサービスの利用は、セキュリティの責任がなくなることを意味しない、という厳しい現実を理解しないとならないです。

・設定ミス

• 新しいオフィス環境に合わせてクラウドの設定を見直しておらず、古い設定のままになっている 。
• 他のシステムとの連携部分の考慮が不足している 。

・一時的設定の恒久化

• 移転のスケジュールに間に合わせるため、暫定的に設定した甘いセキュリティ設定が、そのまま放置されてしまう 。
• その結果生じているセキュリティ上の歪み（ひずみ）を、関係者が黙認してしまう 。

・はりぼてのゼロトラスト

• 単にクラウド製品を導入して利用しているだけで、「ゼロトラスト」を実現できていると勘違いしてしまう 。
• 自社で内容を理解せず、導入ベンダーの一般的な推奨値のままで運用してしまう 。

（3）教育不足の落とし穴

最も見過ごされがちで、かつ最も重要な「教育不足の落とし穴」です。どんなに優れたシステムを導入しても、それを使う「人」に対する教育やルール整備が追いつかなければ、セキュリティは確保できません。どんなことが不足していたのかをあげていきます。

■ルールの未整備

• ルールが、移転前の古い環境を前提として直し忘れいた。
• ルール改正のプロジェクトの時間が確保できず後回しにされてしまう 。

■社員の不慣れ

·       新しいシステムについて、社員が理解できるような分かりやすいマニュアルが整備されていない結果、関係者が問い合わせ対応などに常に時間を取られている。

• 導入しただけで、実践的な動きを練習など十分な教育が行われていないため、従来よりも多く時間がかかっている 。

■外部業者への管理不足

• 担当者が多忙なため、外部業者に製品導入や設定作業などを丸投げしてしまい、結果として実態と乖離した運用になってしまう。
• 新しいルールや環境について、外部業者にもきちんと説明・教育をしていないために、それを考慮せずに設定や作業が行われて不備が発生した 。

・「教育不足の落とし穴」がもたらす結果として、意図しない操作ミスや設定ミスによる情報漏洩も「内部不正」の一種と見なされることがあります。

• 指導不足が「内部不正」を生む:
  • 従業員の理解不足や設定の不備によって情報漏洩が起きた場合、それは意図せずとも内部不正として分類されます 。
  • 深刻な結果としては、意図しない操作ミスや設定などは、脆弱性をさらすことになり、サイバー攻撃者に攻撃の糸口を与えてしまう可能性を生み出します 。

従業員への丁寧な教育は、セキュリティインシデントを減らすだけでなく、従業員が会社からの投資を実感し、新しい武器をすぐに活用できるという満足感にも繋がります 。そのため、教育はプロジェクトのスケジュールにしっかりと組み込むべきです。

これまで見てきたスマートオフィスの「影」である様々なリスクに対し、具体的にどのように確認し、対策を講じていけば良いのかを解説していきます。

具体的な対策に入る前に、オフィスセキュリティにおける最も重要な基本方針、「セキュリティ・バイ・デザイン」の考え方が必要です。セキュリティは優先度やレベルはそこの環境によって異なりますが、必須の柱の１つであるという点は十分認識しておくことが必要です。

セキュリティインシデントは、問題が起きてから対応しようとしても手遅れになることが多いです。 安心して事業を継続するためには、プロジェクトの最初の計画・設計段階で、セキュリティ対策とインシデント対応を込みで基本的な骨組みとして組み込んでおくことが非常に重要です。セキュリティ対策をしても想定外で発生するインシデントは起きます。事前にどれだけ対策していたかが、その起きる確率を如何に下げ、そして発生しても迅速に対応でき、その後のステークホルダーへの説明で如何に信用を上げられるかに反映されます。これからの社会はセキュリティ対応は、信用を落とすのを防ぐものではなく信用をあげるものとして位置づけることが投資のカテゴリにもなり重要かと思います。

【ポイント】

このページでは、これまで議論してきた「3つの落とし穴」それぞれに対する具体的な対策のポイントが、一覧でまとめられています。何をすべきかが明確に示されており、非常に実践的な内容です。

■IoT機器対策

• 初期設定対策: 初期パスワードは必ず変更し、すべての設定を見直すことが必要です 。
• 安全性未確認対策: 約款や契約書を確認し、アップデートや情報削除機能の有無を確認します 。
• ネットワーク設計対策: 情報の保存先や通信に関するセキュリティ対応を確認することが重要です 。
• （参考情報として「IoT適合性評価制度 JC-STAR」などが挙げられています ）

■クラウド安心神話対策

• 設定ミス対策: システムの機能や情報の取り扱いを正確に把握し、確認作業を行う必要があります 。
• 一時的設定の恒久化対策: リスクアセスメントとプロジェクト管理を徹底することが求められます 。
• はりぼてのゼロトラスト対策: 契約書や約款の確認、データ保存先や管理状況の確認、そしてセカンドオピニオンの採用が有効です 。
• （参考情報として「ISMAP」やその簡易版である「ISMAP-LIU」などが挙げられています ）

■教育不足対策

• ルール未整備対策: 新しいシステムや手順を早期に把握し、プライバシー問題への考慮も行うべきです 。
• 社員の不慣れ対策: 部署別にビデオや掲示板も活用した網羅的な教育を計画し、社員の理解度を確認します 。
• 外部業者管理対策: 外部業者向けに専用の資料を用意し、説明会を実施し、スケジュールを管理することが重要です 。

【フェーズ毎にポイントを抑える】

オフィスプロジェクトを時間軸に沿った5つのフェーズに分け、それぞれの段階で上記のセキュリティ対策を項目に落として確実に実施していくことが重要となります。。

オフィスプロジェクトには準備期間があるため、場当たり的な対応ではなく、以下のフェーズに分けて対策を講じることが推奨されています 。

• フェーズ1：企画・設計段階
• フェーズ2：機器・サービス選定段階
• フェーズ3：構築・導入段階
• フェーズ4：運用・管理段階
• フェーズ5：従業員への教育・啓発

そして、これらの各フェーズで具体的に何をチェックすべきか、詳細な項目をまとめた例を記載します。なお、環境により変わりますので、これを実施すればよいというものではないため、しっかりと自社の環境のアセスメントを行い、チェック項目は見直すことをお勧めします。

フェーズ1：企画・設計段階

この段階での検討が、プロジェクト全体のセキュリティレベルを決定します。

■目的の明確化：

何のためにスマートオフィス化するのか、目的（例：生産性向上、省エネ、従業員満足度向上など）は明確か

目的達成のために収集・利用するデータ（例：個人情報、行動履歴、会議音声など）は何か、具体的に定義されているか

■リスクの洗い出しと評価：

収集するデータが漏洩・改ざんされた場合の事業への影響（信用の失墜、損害賠償など）は評価されているか

プライバシー侵害のリスク（例：過度な監視による従業員のストレス）は検討されているか

■ポリシーとルールの策定：

データガバナンスポリシー（誰が、どのデータを、何の目的で、どこまで利用できるか）は策定されているか

従業員のプライバシー保護に関する明確なガイドラインを作成し、弁護士などの専門家によるレビューは行われたか

■ネットワークの分離設計：

IoT機器を接続するネットワークと、社内の重要な情報資産を扱う基幹業務ネットワークを分離する設計になっているか（例：IoT専用のVLANやWi-Fi(SSID)を用意する）

■管理体制の確立：

スマートオフィス全体のセキュリティを統括する責任者や担当部署は明確に定められているか

• フェーズ2：機器・サービス選定段階

取り扱い情報や事業のレベルにあわせたセキュリティの観点を重視します。

■セキュリティ機能の確認：

製品に暗号化通信機能や、アクセス制御機能が備わっているか

ファームウェアのアップデートが提供されるか、またその方法は容易か

■ベンダーの信頼性評価：

ベンダーのセキュリティに対する姿勢や、過去の脆弱性対応の実績は確認したか

万が一、製品に脆弱性が見つかった場合のサポート体制は確立されているか

ISMAP（政府情報システムのためのセキュリティ評価制度）やIoT製品セキュリティ適合評価、またはそれに類するレベルがあるか

■データ取扱いの確認：

クラウドサービスを利用する場合、データがどこ（国・地域）のサーバーに保存されるかは確認したか

ベンダーのプライバシーポリシーを確認し、データが二次利用される可能性はないか確認したか

• フェーズ3：構築・導入段階

初期設定のまま利用することが最も危険です。

■初期パスワードの変更と強化：

全てのIoT機器の初期パスワード（デフォルトパスワード）を変更したか

推測されにくい、複雑なパスワードを設定するルールは適用されているか

■不要な機能・サービスの無効化：

利用しない機能やサービス、ネットワークポートはすべて無効化したか（攻撃の侵入口を減らすため）

セキュリティ対策の設定はデフォルトではなく見直して変更したか

■ファームウェア・ソフトウェアの最新化：

導入する全ての機器のファームウェアやソフトウェアを、運用開始前に最新バージョンにアップデートしたか

■アクセス権限の最小化：

機器の管理画面やデータにアクセスできる担当者を、必要最低限の人数に絞っているか

当初人数が多くても最小化時期の期限を最初に決めておくこと

• フェーズ4：運用・管理段階

セキュリティ対策は導入して終わりではなく、継続的な運用が不可欠です。

■資産台帳の整備：

オフィス内に存在する全てのIoT機器をリスト化し、IPアドレス、責任者、用途などを管理する台帳は整備されているか

■継続的な監視とログ管理：

ネットワークのトラフィックや各機器へのアクセスログを定期的に監視し、不審な動きがないか確認する体制は整っているか

■定期的なアップデート運用：

各機器のファームウェアやソフトウェアの脆弱性情報を定期的に収集し、アップデートを適用する運用フローは確立されているか

■インシデント対応計画の策定：

情報漏洩などのセキュリティ事故が発生した際の報告体制や対応手順（インシデントレスポンスプラン）は準備されているか

■定期的な監査と見直し：

設定したルールが形骸化していないか、定期的に監査し、状況に合わせて見直す計画はあるか

• フェーズ5：従業員への教育・啓発

最も重要なセキュリティ対策は、利用する従業員の意識です。

■ポリシーの周知徹底：

収集するデータの内容やその利用目的、プライバシー保護のルールについて、全従業員に説明し、理解を得られているか

クラウド利用は対象によってわけて説明をしているか

■セキュリティ意識向上のための教育：

不審なメールやWebサイトへの注意喚起など、基本的なセキュリティに関する定期的な教育を実施しているか

フィッシング詐欺やビジネスメール詐欺は特に狙われやすい管理部門や営業部門には丁寧に説明を実施しているか

■異常発見時の報告フローの確立：

機器の不審な動作や、紛失・盗難に気づいた際に、誰に、どのように報告するかのフローは明確化され、周知されているか

当初は報告が上がりにくいといって監視設定を緩めるのではなく、適切に設定をしているか

自社のオフィス内だけでなく、入居するビル全体の設備（ビル設備）に目を向けたセキュリティの確認事項を挙げています。ビルのインフラが安全でなければ、自社のセキュリティ対策も無意味になりかねないです。

重要な情報をもつオフィスを狙う場合に、オフィスは完全な防御で入れなくても、オフィスビル側はそこまで対応していない場合があります。この場合は、オフィスビルの制御系の設備に侵入してそれに連携しているオフィスのセキュリティを破り入り込むというストーリーがあります。これはスパイ映画の話ではなく、経済産業省が出しているガイドライン名「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」 も出されているように実際にも何度か発生しているものです。

■ネットワークインフラ

• 来訪者向けのゲストWi-Fiは、ビル管理用ネットワークや各テナントの業務ネットワークから完全に分離されているか 。
• ビル全体でインターネット回線を提供している場合、他のテナントのネットワークとの分離はどのように確保されているか（例：VLAN） 。
• MDF室・IDF室（共用配線盤室）への入室は厳格に管理されているか 。

■ビル管理システム（BMS）のセキュリティ

• 空調、照明、エレベーター等を制御するビル管理システム（BMS）のネットワークは、インターネットやテナント用ネットワークから分離されているか 。
• BMSへのアクセスは、許可された担当者のみに制限され、パスワード管理は適切に行われているか 。

■ビルに設置されたIoT機器

• 共用部に設置されたデジタルサイネージやAIカメラ等のIoT機器は、適切に管理・運用されているか（例：初期パスワードの変更、定期的なアップデート） 。