どうも、太陽です。(No98)
突然ですが、「テレワークこそが地方・中小企業を救う!」と思ってましたが、懸念点がありました。
それはセキュリティです。
「サイバーセキュリティ入門」を参考にして、まとめます。
興味がある人は続きをお読みください。
1 テレワークこそが、地方と中小企業を救う!
いきなりですが、僕はそもそも地方というのは「東京と比べたら、生産性が格段に落ちる」と思っています。
中小企業もそうですし、人材の質的にもです。
また、地方は観光産業や農業などに頼っている部分もありますし、東京や首都圏みたいに大企業が集積しているわけでもありません。
交通インフラの面でも、東京は電車で効率よく人が動くのに対し(今はコロナで人が少ないですが)、地方は車社会であり、移動の効率が悪いのです。
そういう側面を考えると、まさに地方や中小企業こそ、「デジタル化を強烈に推し進めるのが生産性を上げる最善策なのでは?」と思えてきます。
観光は当分、壊滅的であり、Gotoキャンペーンが展開されていますが、不透明です。
(海外からの顧客は当分、見込めません)
で、地方でも、テレワークを強烈に推進し、「地方の車移動という弱点を逆手に取り、働き方改革を進めればいいのでは?」と思うのです。
また、テレワークを強烈に進めれば、地方に住んでいても、首都圏の人と仕事ができます。
もちろん、対面じゃないと難しい仕事はありますが、テレワークが地方や中小企業にとっては救世主になる印象を持っています。
加えて、役所の事務手続きなども、電子化を強烈に進めれば、わざわざ出向く必要もなくなり、これも生産性をあげます。
(地方移住者は特に。脱ハンコも重要です)
テレワークにもいろいろな弊害があるのは知っています。
孤独や時間管理の難しさ、コミュニケーションの難しさ(Zoom飲み会疲れ、チャットが面倒くさい、リアルならすぐ横の人に聞けるけどできないなど)などありますが、それを補う良さも「テレワークにある」と感じます。
「地方や中小企業こそ、テレワークが効くのでは?」という仮説です。
東京にある大企業やベンチャーは、移動の効率も良く、人材の質も高く、テレワークの効果もある程度あるにせよ、劇的なのかどうかは不明です。
ですが、コロナ下においては、首都圏でも通勤電車の人数を減らすため、テレワークが推進されました。
効果のほどはどうだったのでしょうかね?
ところで、日本のテレワーク利用率は以下でした。
(2020年7月調査。中国と韓国は都市部。カッコ内は新型コロナ以前からテレワークしていた比率)
・中国75%(35%)
・スウェーデン52%(35%)
・アメリカ61%(32%)
・イギリス55%(25%)
・イタリア61%(24%)
・ドイツ51%(22%)
・韓国37%(13%)
・日本31%(9%)
日本はコロナ前もコロナ後も、各国と比べて在宅勤務率が低いのです。
で、「生産性がかなり落ちた」「やや落ちた」の合計の比率は以下です。
・日本48%。
・中国47%。
・韓国41%。
・アメリカ41%。
・イギリス40%。
・イタリア30%。
・スウェーデン28%。
・ドイツ26%。
日本では「生産性が落ちる」というように、各国と比べて多く、認識されています。
野口悠紀雄氏の分析によれば、日本企業の多くは成果主義ではなく、「部下がPCの前にいるかどうか」が重要であり、その点が、「日本のテレワーク率が上がらない理由だ」と言います。
さて、テレワークに加えて、遠隔医療・オンライン診療が普及すれば、高齢化日本において、利便性が増すと思われます。
しかし、諸外国では実現していても、日本では普及しておらず、最大の壁は医師会なのです。
医師会は、「遠隔医療の安全性・医療事故時の責任」などを理由に挙げていますが、諸外国は克服しています。
本当の反対理由は患者を大病院に取られてしまうことと、診療報酬が対面診療より低いことなのです。
多くの患者は遠隔のほうが便利なので、逆に「診療報酬が高くなってもよい」と思っているでしょうに。
病院に行くための時間と労力と待ち時間を想像できないのが医師会なのです。
「患者を大病院に取られる」といいますが、地域医師が分担する度合いも大きいのです。
アメリカでは医師の診療時間が短くなり、多くの患者を診ることが可能になり、医者の収入が安定して、遠隔医療・オンライン診療が普及しました。
また、遠隔医療の前提として、各自の自宅でのコンパクト医療機器の普及は必要でしょう。
簡易検査ぐらいは自宅でやり、そのデータを病院に送り、結果を教えてくれればいいのです。
遠隔医療だと見落としはあるのは事実ですが、遠隔医療に転換できるものも多いはずです。
加えて、海外からのリモートワークが可能になり、昨今、越境ワーカー、ノマドワーカー、海外ノマドワーカーなど働き方が多様になりました。
アメリカのコールセンターはインドにあり、生産性を引き上げました。
インド人は英語を話せるので、アメリカ人は重宝して、使いこなせています。
ですが、今後はAI翻訳により、日本においても、日本語の壁がなくなり、デジタル移民が労働力不足を補う可能性があります。
(「オンラインでできる分野の仕事限定で、日本企業が対応するのなら」ですが)
ですが、デジタル移民実現には壁があり、それは送金コストの高さです。
仮想通貨が解決に導く可能性は残ります。
働き方として、海外からのリモートワークが登場し始めました。
さて、日本のオンライン教育導入割合は51%です。
対して、インド、香港、インドネシア、フィリピン、マレーシアなどでは70%を超えています。
リスキリング(再教育)は「仕事を続けながら学ぶこと」を指します。
リカレント教育は「いったん社会に出た人が教育機関に戻って学び直すこと」をいいます。
移動時間などの負担を考えると、リスキリング(再教育)にオンライン教育はかなり使えます。
大学の価値として、キャンパスライフがあり、言わば「高級遊園地、知的社交場のような場所だ」と言えます。
しかし、これは音声通話アプリである程度、代替できそうです。
もちろん、対面や彼女作りなどのキャンパスライフは代替が厳しいですが。
リスキング(再教育)、リカレント教育どちらにもオンライン教育は使えます。
このように、テレワークに限らず、リモート経済は日本に衝撃を与えます。
極端な話、リニアモーターカーを「莫大な金と環境破壊を起こしてまで実現する意味があるのか?」の論点まで作れそうです。
そもそも「移動がそんなに大事か?」「リモートでやればいいのでは?」という論点が浮上するからです。
ですが、リモートにも問題点があり、それはセキュリティなのです。
2 テレワークはセキュリティ上の問題がある。
「サイバーセキュリティ入門」という本を参考にしてまとめます。
(僕の意見も追加します)
まず、ハッカーのうちの「ブラックハット」と呼ばれる、「悪意を持ってコンピュータやネットワークを攻撃する人達」がいます。
「数十から数百のグループが存在している」と言われています。
アノニマスのように「国家が関与しない集団」もあれば、「国家が直接関与している集団」もいます。
もう少し具体的に分類すると、中国の場合は「以下の5つのタイプがある」と思われます。
1 | 社会に不満を持つ若者たち。 | 中国政府を直接狙うと厳罰を受ける恐れがあるので、その矛先は外国政府や外国企業となります。 |
2 | 経済的な利得を求める人達。 | 中国国内でも多数の攻撃が発生しており、お金がある組織はどこでも狙われます。 |
3 | 政治的な目的でスパイ活動をやっている人達。 | |
4 | 軍の関係者。 | 中国で言えば、人民解放軍です。 |
5 | 請負で何でもやる人達。 | 軍の中にも企業の中にもいます。 |
中国を例に取りましたが、他国でも基本的な構造は変わりません。
ただ、傾向は国によって少し異なります。
中国の場合は、民間であろうと政府関係であろうと、ひたすら出所を隠しながら攻撃します。
ロシアは、自分たちの力を誇示するためにサイバー攻撃を使うケースが多く、出所がロシアだと匂わせる傾向があります。
(もちろん、決定的な証拠は握らせません)
北朝鮮は、以前は政治的なアピールが強かったのですが、核実験やミサイル実験によって海外から経済制裁が強められた時期から、金儲けのためのサイバー攻撃が増えてきました。
他国の中央銀行、仮想通貨などをターゲットにするケースがよく見られます。
このように、国の特定を仮にできても、「攻撃者は誰なのか」特定するのは非常に困難です。
「ハッカーはこのような集団だ」と、まず認識しておきましょう。
そして、ハッカーが狙うのは防御が固い中枢より、その周りにあるシンクタンクや大学、地方自治体などになり、そこを突破口として、中枢機関に侵入していきます。
中枢ではなく、周辺が狙われるということは、企業は取引先や子会社なども警戒しないといけません。
多くの大企業はすでに強固な対策をとっていますが、そこに納入している下請けの中小企業の多くは対策が不十分なのです。
なので、僕は「「テレワークが中小企業を救う?」というのは言い過ぎだったかもしれない」と思いました。
さらに、地方も、政府側なら、「地方自治体などはやはり防御が手薄であり、地方も危うい」のです。
2019年のサイバー攻撃で、特に目立った攻撃は以下です。
1 | マルウェア「Emotet」(エモテット)の感染。 |
2 | SSLVPN製品(暗号化したインターネット通信を仮想ネットワークで接続する機器)の脆弱性を狙った攻撃。 |
「Emotet」の感染の詳しい説明は本をお読みください。
「Emotet」に限らず、サイバー攻撃を行う犯罪組織は「ウィルスをコントロールするグループ」、「ばらまくグループ等」といった役割分担があります。
それぞれは別の組織であり、必要に応じて統合したり連携したりして攻撃を広げています。
さらにグループ間では、「さまざまな企業の情報を売買している」と言われています。
一度被害にあった企業は「攻撃に対する守備力が低い」とみなされ、「情報が共有されていること」も十分考えられます。
次に、SSLVPN製品の脆弱性を狙った攻撃について触れます。
ここで言うSSLVPN製品とは、「外出先から自社のシステムを利用するなど、外部から組織内のネットワークにリモートアクセスする際、最初に接続する機器のこと」です。
近年、働き方改革によってテレワークを導入する企業が増え、SSLVPN機器が急速に普及しています。
SSLVPN製品への攻撃は、こういった背景からも増加傾向にあります。
さて、ユーザー企業は緊急度の高い脆弱性対応が遅れました。
理由は、普段使用しているPCなどのOSは定期的に更新プログラムがリリースされますが、インストールするためにはPCを一度止めたり、再起動したりする必要があるからです。
しかも、これと同様に、SSLVPN製品に修正プログラムを運用する際も、当該ネットワーク機器を止めなければならないのです。
「法人向けのシステムやネットワーク機器」では、修正プログラムの追加により、予期せぬ不具合が発生しないように、事前の適用テストを行うことも必要で、手間がかかります。
結果これらの理由で、ユーザー企業側が対応を先延ばしにしている間に「被害を受けてしまうといったケース」が複数見られました。
被害拡大の背景の1つは、リモートワークの拡大です。
以下、著者の推測です。
リモートワークを推進する企業が増えてきました。
しかし、リモートアクセスに必要なSSLVPN機器を止めてしまうと、リモートワークが一切できなくなってしまいます。
ユーザー企業の多くは「サイバー攻撃のリスクよりも、リモートワークによる業務継続ができなくなるリスクのほうが大きい」と考え、「対応が先延ばしになってしまったのではないか?」と。
また、リモートワーカーのセキュリティ対策として一般的なVPN(仮想プライベートネットワーク)も、オンにしたままではカフェなどのフリーWiFiに接続できない上、いったんオフにすると、再びオンにするのを忘れやすい欠点があります。
どんなに優れたセキュリティも、使われなければ無いのと同じです。以上、ここまで。
セキュリティ上のいろいろな欠点が、見えてきましたね。
リモートワークに必須なVPNも、脆弱性や使い勝手(操作)に問題があります。
さらに、地方や中小企業だと、人材の質が落ちる上に、セキュリティ上の意識も弱く、さらにそういう所こそ狙われます。
だからこそ、「地方や中小企業にまでテレワークを推進、広げる」のはかなり要注意になるのです。
セキュリティ意識と対策をしっかりと施した上で、地方や中小企業に拡大させないと、ハッカーの侵入の手助けをすることになります。
都市部の大企業なら、セキュリティ意識がある程度はしっかりしていそうですが、地方や中小企業だと手薄になり、さらに中小企業が大企業と取引したり、関係・関連があると、その中小企業を足場にしてハッカーに狙われるのです。
意外な盲点でしたが、それでも、遠隔・オンライン診療、オンライン教育、テレワーク(デジタル移民含む)などをある程度は推進しないと、世界の動きに出遅れそうです。
ではこの辺で。(5496文字)
このブログは個人的見解が多いですが、本・記事・YouTube動画などを元にしつつ、僕の感性も加えて、なるべく役立つ・正しいと思われる記事を書いています。
あくまで読者がさらに深く考えるきっかけとなればいいなぁという思いですので、その辺は了解ください。
参考・引用文献。
コメント