オフィス勤務再開によるセキュリティへの影響：2025年のリスクと考慮すべき点

多くの企業が従業員をオフィス勤務に戻す中、セキュリティチームは新たな課題と向き合う必要があります。

＊本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2025年3月11日付）を翻訳したものです。

オフィス勤務に戻る動きが加速しています。ハイブリッド形式やフルリモート形式の働き方を維持する企業もある一方で、2025年になると業務上のニーズや規制条件、または慣行的な優先項目を理由に出社形式に移行する企業が増えています。

このような変化に伴い、新たなセキュリティ上の課題も生まれています。オフィスはリモートワーク時代以前とはまったく異なるリスク環境で再開されているため、セキュリティチームはこれに適応しなければなりません。職場での暴力行為、ソーシャルエンジニアリングや内部脅威によるリスクの増加は、リモートワークへの依存が数年間続いたことで拡大したデジタル空間の攻撃対象領域（アタックサーフェス）に収斂されつつあります。同時に、企業のオフィス環境以外で長期間仕事を行っていた従業員は、物理的なセキュリティリスクに対し以前よりも鈍感になっている可能性もあります。

物理的なセキュリティやアクセス制御、サイバーセキュリティポリシーを積極的に調整しなければ、組織は従業員や資産、機微情報をむやみに脅威の下にさらしてしまうかもしれません。

変わりゆくオフィス内セキュリティの様相

セキュリティチームは長い間、外部および内部の脅威に対して企業環境を強化する役割を担ってきました。しかし、勤務地をオフィスに戻すことで新たな変化が企業環境にもたらされています。

• ソーシャルエンジニアリングの新たな攻撃ベクター：リモートワークに慣れた従業員は、対面での脅威に対して危機感があまりないかもしれません。請負業者やベンダー、さらには同僚を装った攻撃者は、警戒が緩くなった入館手続きを悪用する恐れがあります。

• アクセス制御の盲点：ハイブリッド勤務によって、オフィスに誰がいて、誰がいないのかを把握することが難しくなります。スケジュールに一貫性がないため、セキュリティチームが建物内の占有状況を確認したり、不正アクセスの可能性を追跡したりすることに支障が生じます。

• 職場内の暴力行為への懸念：不満を抱く従業員や過激思想を持つ人物、場当たり的に攻撃を行う犯罪者といった脅威アクターは、企業のオフィスを標的にする場合があるため、最新の緊急対応策が必要になります。

• ハイブリッド勤務のサイバーセキュリティリスク：従業員が自宅ネットワークとオフィス内ネットワークとの間を絶えず行き来するため、データ流出やデバイスの盗難のほか、機微性の高い企業情報へ不正アクセスされるリスクが高まります。

セキュリティチームは、物理的なセキュリティから勤務ポリシー、サイバーセキュリティまでにわたるリスクに対処しながら、オフィス勤務再開という課題に総合的に取り込む必要があります。

ニューノーマルの時代における物理的なセキュリティのギャップ

多くの企業が新たな物理的なセキュリティのニーズがどのように変化したのかを十分に評価しないまま、従業員をオフィスに戻しています。2019年には安全であった職場も、2025年になるともう安全ではないかもしれません。

• 共連れ侵入や不正侵入：ハイブリッドあるいはフレックス勤務の従業員は社外の人物を同僚だと思い込み、機密性の高い空間に入れてしまいやすいかもしれません。

• 緊急時対応の準備：多くの組織は、職場での暴力行為への対応訓練や避難訓練を長い間実施していないため、従業員は事件が発生した際に十分な対応ができません。

• 勤務時間外のセキュリティリスク：フレックス制の勤務スケジュールによって、従業員が以前よりも遅くまでオフィスで1人きりになる場合があり、駐車場やロビー、エレベーターでの身の安全に関する懸念が生じています。

特に加害性のある人物が弱点を利用しようとしている場合、セキュリティチームはアクセス制御ポリシーや、建物のセキュリティギャップの可視性、インシデントに対応するための手順を再評価する必要があります。

ハイブリッド勤務におけるサイバー脅威と内部リスク

オフィス勤務に戻ったとしてもサイバーセキュリティのリスクはなくなるわけではなく、むしろリスクの種類が変化します。ハイブリッドな業務環境は個人と企業間のセキュリティの境界線を曖昧にするため、新たなアタックサーフェスが生まれています。

• 攻撃ベクターの拡大：従業員が侵害されたデバイスを自宅から企業ネットワークに持ち込むと、社内システムがマルウェアや不正なソフトウェア、または安全でない資格情報のリスクにさらされる可能性があります。

• ソーシャルエンジニアリングのリスク：なりすまし詐欺はデジタルから対面式の戦術へと移行しており、見知らぬ「ベンダー」や「同僚」が立入制限区域に入ることを疑問に思わない従業員を標的にしています。

• データ流出のリスク：印刷された文書、ホワイトボードの書き込み、あるいはワークステーションがロックされていないといった形で、従業員が機微情報を共有のワークスペースに放置してしまう可能性があります。

セキュリティチームは、サイバーセキュリティの意識向上トレーニングにハイブリッド勤務のリスクを反映させるとともに、ネットワーク監視が従来のエンドポイントに加え、リモートおよびオフィス内での作業パターンを考慮したものとなるようにする必要があります。

これからどうなる？職場のセキュリティに対する戦略的アプローチ

セキュリティチームは、パンデミック以前の職場のセキュリティモデルがいまだに有効であると考えてはいけません。組織は以下のことを行う必要があります。

• 新たな物理セキュリティのギャップやサイバー脅威、職場における暴力のリスクを考慮した最新のセキュリティ評価を実施する。

• 対面およびデジタル空間でのソーシャルエンジニアリングの脅威に対処できるよう、従業員のセキュリティ意識を強化する。

• 職場での暴力行為の可能性に関するネット上の議論を追跡したり、企業のオフィスを狙った新たなサイバーリスクを特定したり、事業運営に影響を与えかねない地政学的脅威に先手を打ったりするなど、リアルタイムのインテリジェンス監視を強化し、脅威が拡大する前にこれを検出する。

• 変化し続けるリスク要因に基づいてセキュリティポリシーを改善し、アクセス制御や緊急時対応、データ保護対策が今日のハイブリッド勤務の現状に沿うようにする。

オフィス勤務再開時のセキュリティ対策には、構造化されたアプローチが不可欠です。セキュリティチームがこの移行を円滑に進められるように、Flashpointは現代の職場の安全性を維持するためのベストプラクティスを盛り込んだ『Return to Office Security Checklist』を作成しました。

チェックリストを今すぐダウンロードして、物理的なセキュリティやアクセス制御、そしてサイバーセキュリティ対策に関する詳細なアドバイスを入手しましょう。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

Flashpointについて詳しくは、以下のフォームからお問い合わせください。