フリーランサーと仕事をするのは、今では当たり前のことになりました。大きな組織であってもすべてのタスクを社内で解決できるわけではなく、従業員を増やす余裕のない小規模な会社の場合は言うまでもありません。とはいえ、デジタルワークフローに外部の人を入れれば、その分サイバーリスクも増大します。仲介業者を通さずに直接取引するとなればなおさらです。
受信メールの危険性
フリーランサーを探すに当たっては、考え得る脅威を検討するところから始めるべきでしょう。誰かを採用しようとする場合、まずは書類を見るものです。応募者からは、書類や、これまでにやった仕事のアーカイブ、場合によっては外部のWebサイトへのリンクまで送られてくるので、そうしたファイルを開いたりリンクをクリックしたりすることになります。しかし、そのようなファイルやWebサイトには、何が潜んでいるか分かりません。
ブラウザーやオフィススイートでは、頻繁に脆弱性が見つかっています。これを通じて攻撃者が文書ファイルに悪意あるスクリプトを仕込んだりWebサイトのコードにエクスプロイトのパッケージを埋め込んだりして、企業のコンピューターを乗っ取ることもたびたびあります。しかし、そういった仕掛けが必要ないこともあります。受信したファイルの拡張子を確認もせずにクリックし、実行ファイルを起動してしまう従業員がいたりするものですから。
過去の仕事事例(自分自身のものであるとはかぎりませんが)として普通のファイルを提出し、後で課題の成果物として悪意あるファイルを送ってくる人がいる可能性も念頭に置いておきましょう。このほか、誰かがフリーランサーのコンピューターまたはメールボックスを乗っ取り、あなたの会社に対して攻撃を仕掛けてくる可能性もあります。フリーランサーの使っているデバイスやアカウントがきちんと保護されているかどうかは結局のところ確認しようがなく、そこで起きていることに関しては、企業側のITセキュリティ部門にはどうすることもできません。もう何年も一緒に仕事をしているフリーランサーだからといって、送られてきたファイルが信頼できるものだと思い込んではならないのです。
対策
企業インフラの外で作成されたドキュメントを扱う必要がある場合、何よりも重要なのは、デジタルのセキュリティを維持することです。前述したようなサイバー脅威があることを全従業員が認識しておくべきで、その意味でセキュリティ意識のレベルを上げるのは有効な手立てです。このほか、実用的な対策は以下のとおりです。
- ドキュメントのやりとりに関する厳格なルールを作成し、フリーランサーにも知らせた上で、ルールに従っていないファイルは開かないようにする。自己解凍型アーカイブなど論外です。また、アーカイブのパスワードがメール本文に書かれていたら、マルウェア対策フィルターを迂回するためだけのものかもしれないと疑いましょう。
- 外部からやってくるファイルを扱うに当たっては(確認する場合だけであっても)、ネットワークから切り離した専用のコンピューターか仮想マシンを使用する。こうすることで、万が一感染した場合に被る可能性のあるダメージを大きく削減できます。
- 上記の目的で使用するコンピューターまたは仮想マシンには、脆弱性を悪用されたり悪意あるWebサイトへのリンクをクリックしてしまったりすることのないように、セキュリティソリューションを必ずインストールしておく。
アクセス権問題
仕事を依頼するにふさわしい外部スペシャリストが見つかったとしましょう。プロジェクトで協働するため、フリーランサーに企業のデジタルシステムへのアクセス権を与えるのはよくあることです。ファイル共有プラットフォーム、プロジェクト管理システム、カンファレンスサービス、内部メッセンジャー、クラウドサービスなど、さまざまなシステムへのアクセス権が必要になることでしょう。その際に、注意すべきことが2点あります。フリーランサーに権限を与えすぎないことと、作業が終了したらアクセス権を無効にすることです。
権限を与えるに当たっては、最小限の範囲にとどめるのがベストです。取り組んでいるプロジェクトに必要なリソースへのアクセス権のみに限定しましょう。ファイルストレージやチャット履歴に無制限にアクセスできるようでは、リスクを呼び込むことになります。補助的に使っているサービスに保管されている情報も、過小評価できません。報道によれば、2020年に起きたTwitterハッキング事件の発端は、Twitter社の社内チャットに攻撃者がアクセスできたことでした(英語記事)。彼らは、ソーシャルエンジニアリングの手法を使って、多数のアカウントへのアクセス権を社員から手に入れたのです。
またプロジェクト終了時の権限抹消も、形式上のものであってはなりません。フリーランサーは作業が完了したらプロジェクト管理システムをハッキングするものだという意味ではなく、企業データにアクセスできるアカウントが余分に存在すること自体が良いことではないのです。万が一、そのフリーランサーが強度の低いパスワードを設定していたり、他のアカウントと同じパスワードを使い回していたりしたら、そのパスワードが漏洩してしまったとき、企業ネットワークに脆弱性が一つ生じることになります。
対策
最も重要なのは、雇用関係の終了と同時にフリーランサーのアカウントを削除または停止することです。最低でも、メールアドレスとパスワードを変更しましょう。システムによっては、アカウントにひも付けられた全データを削除する必要があるかもしれません。このほか、以下の対処を推奨します。
- 誰がどのサービスにアクセスできるようになっているか、一元的に記録しておく。こうしておけば、プロジェクト終了時にすべての権限を停止する際に役立ちますし、インシデント調査の際にも役立ちます。
- 業務委託先には、デジタルセキュリティを良好に保つこと、企業リソースへの接続に使用するデバイスには(無料のものでもよいので)セキュリティソリューションを導入することを求める。
- 可能なかぎり、すべてのクラウドシステムに 2要素認証を導入する。
- 可能であれば、フリーランサーおよび再委託先のプロジェクトとファイルを扱う、専用のインフラを別途用意する。
- クラウドストレージまたは企業のサーバーにアップロードされたすべてのファイルを、マルウェアがないかどうかスキャンする。