キヤノンMJ/サイバーセキュリティ情報局
ビジネスチャットの「メリット」と「運用上の注意点」を検証
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「セキュアなコミュニケーションツール!?ビジネスチャットのメリットと運用上の注意点」を再編集したものです。
リモートワークを行なう企業が増えていることもあり、電話・メールに続くコミュニケーションツールとして広まりつつある「ビジネスチャット」。メールや電話などと比較した場合の「メリット」と「運用上の注意点」を、セキュリティという観点から確認していく。
メールに代わるコミュニケーションツール「ビジネスチャット」
企業の規模を問わず、電話・メールに続くコミュニケーションツールとして、利用のすそ野が広がりつつあるのが、ビジネスチャットだ。
おさらいとなるが、チャットとはテキスト情報をネットワーク経由で互いに送受信し合うことにより会話を行なえるシステムのことだ。その先駆者はSkypeだが、社内専用のツールとして企業内で独自に作られたものも少なくない。最近では、スマホで馴染みのあるLINEや、Facebook Messengerなどがよく利用されている。
また、ビジネスチャットとは、一般的にチャットを主に、ビジネス用途で利用できるように機能強化したものを指す。個人向けのものと比較すると、以下のような機能が強化されているものが多い。
・管理者によるメンバー登録、管理
ビジネスチャットでは管理者権限を持つユーザーがメンバーを登録できるようになっており、権限を持たないユーザーは勝手にメンバーを登録できない。
・管理者によるIPアドレス制限
許可された範囲外のIPアドレスからの接続を拒否するような設定が可能となっている。会社内のネットワーク、あるいはVPN経由に限定した利用が可能、といった利用制限ができる。
・メンバー間でのテキストチャット、ビデオ通話機能
ツール内で公開されているグループであっても、メンバー個人間であっても、それぞれ1対1でのテキストによる会話が可能だ。また、最近では複数名で利用できる音声会議、ビデオ会議の機能も提供されるようになってきている。
・グループの作成、柔軟な変更
企業・組織では年度単位で組織変更や異動が行なわれることが多い。そういった変更に応じてグループの作成・変更が柔軟に対応できる。
・テキストやファイルの検索
タイムライン上で頻繁に会話が飛び交うチャットグループなどでは、過去の会話やアップロードしたファイルが埋もれてしまうようなことがしばしば発生してしまう。そのような状況においても、スムーズに過去の会話やファイルにアクセスすることができるように、検索機能が充実しているサービスが少なくない。
・ファイルの共有、保存
タイムライン上にファイルをアップロード可能なだけでなく、ユーザーそれぞれにストレージが提供されるサービスもある。加えて、URLを発行して、外部のユーザーとファイルを受け渡しできるサービスもある。
・タスク、スケジュール管理との連動
タイムライン上の会話の内容とスケジュール管理を連動し、そのまま音声・ビデオ会議の予約できるものもある。
・リマインダー、メンション機能
タスク・スケジュール管理と似ているが、「予定登録 ×月〇日 ▲▲:▲▲」といつまでに何をするか記録し、リマインダーを登録・通知できる。メンション機能では「@」で相手先を指定し、相手のスマホやパソコンには自分宛のチャットが送られたことが通知される。グループなどでチャットが数多くやり取りされる場合、相手が気づかないこともあるが、メンション機能を用いることで相手に確実に伝えることができる。
・ログ記録、閲覧機能
ツールの利用において、どのような行動をとっているのかをログとして記録する。会話の内容や行動履歴を記録することで、何らかの不祥事などが発生した際の証跡として利用できる。
ビジネスチャットはここ数年で利用が広がっており、さまざまなベンダーがサービスを提供している。海外企業のサービスではSlackやTeams、Chatter、国内企業のものではChatwork、LINE WORKSなどがよく知られている。差別化するための機能強化も進み、競争も激しいサービスの分野でもある。
ビジネスチャット利用のメリットと運用時の注意点
コロナ禍の影響でリモートワークを行なう企業が増えていることもあり、ビジネスチャットの利用は広がっている。特に企業内では、プロジェクトやグループ、部署内の「報連相」や雑談的なコミュニケーションまで、さまざまなシーンでの利用がみられる。従来からのコミュニケーションツールであるメールや電話などを利用した場合との「メリット」と「運用時の注意点」を以下に挙げていく。
1) ビジネスチャットのメリット
・すき間時間を利用したコミュニケーションが可能
メールも同様だが、原則として連絡をとる際に、相手の状況を考慮する必要がないというのは大きなメリットだ。電話の場合、対応する分だけ時間を要してしまうことになるが、チャットの場合は受け取った相手側はすき間時間で返信対応をすればよいので、双方の負担が軽減される。
・相手とのやり取りの証跡が残される
ビジネス上でありがちなのが「言った、言わない」という話だ。大きくこじれて社内の雰囲気を悪くしかねない。
面と向かっての会話や電話では起こりがちだが、メールやチャットでは証跡が残るため、こうした論争は発生しづらい。さらに、チャットにおける相手とのやりとりの形跡が「タイムライン」として残され、充実した検索機能によって、検索しやすいというのもメリットだろう。
・「お世話になっております」などの儀礼的な挨拶文が不要
しばしば、ウェブメディア上のビジネスマナーに関する記事でも話題になるが、メール冒頭の挨拶文などを相手に応じて変更しているユーザーは少なくないだろう。手紙の時代をルーツとした相手に対する敬意を表すための慣習だが、頻繁にやり取りする場合だと、その都度挨拶文を考えてキーボードで打ち込むのは業務時間のロスにつながりかねない。
ビジネスチャットの場合、会話的なコミュニケーションとなるため、挨拶文も最低限の簡潔なもので済ます傾向にある。一回あたりの所要時間はわずかであっても、1ヵ月、1年というスパンで考えると、その積み上げた時間は決して無視できないはずだ。
・クローズドな環境のためセキュリティが堅牢
ビジネスチャットを利用できるのは管理者が登録したユーザーのみであり、各ユーザーの詳細な操作履歴はログとして残される。オープンな環境よりもセキュリティレベルは高まり、万一セキュリティインシデントが発生した際の原因究明も行ないやすい。2020年末に話題となった「PPAP問題」なども基本的に考慮する必要性がないのも、ビジネスチャットのメリットだと言える。
2) ビジネスチャット運用上の注意点
・やり取りの回数が増えやすい
ビジネスチャットは、慣れてくると多くの人が使いやすいと感じるものだ。ただ、それゆえ、ちょっとした用件でも使うようになりがちで、雑談などもタイムライン上に流れやすい。そうなると、業務情報が埋もれてしまい、その都度探すことに手間をとられかねない。業務上で必要なことだけをやり取りするよう、雑談には専用のグループを別途用意するといった対応で回避することも一考だ。
・コミュニケーションをチャットに頼りがちに
ビジネスチャットでのコミュニケーションはタイピングだけで済むため、利用が浸透してくると、会話でのやり取りが重要なシーンでも、チャットでのコミュニケーションで済まそうとしてしまうケースが発生してくる。例えば、感情的にこじれている場合などは、キーボード経由で打ち込まれた字面だけではかえって誤解を招きかねない。直接顔を合わせ、話すことで誤解を解消したほうがスムーズな場合もあるだろう。
ビジネスチャットの運用と併せ、「大事な場面では音声・ビデオなども活用すること、上司部下の関係であれば1on1の実施」といったコミュニケーションに関する注意事項などを周知、あるいは教育していくことも求められるのではないだろうか。
・「即レス」を強要する風潮が蔓延しかねない
グループチャットでは、ユーザーがメッセージを読んだかどうかを「既読」などの文字情報として確認できるものもある。重要な情報を速やかに相手に伝える必要がある場合、こうした機能は役に立つものの、裏返せば、即時の対応を強要することにもつながりかねない。相手の状況によっては不快にさせかねないことを考慮し、チャット運用の際のルール・マナーを適切に周知しておきたい。
・サービスが異なる外部組織とのやり取りができない
ほとんどのビジネスチャットでは、そのサービス内で完結することが前提となっており、外部組織のユーザーとのやり取りができない。そのため、外部組織のユーザーとは、結局メールなどでやり取りせざるを得なくなってしまう。外部とのやり取りが主要な業務となる職種の場合、効率化するどころかかえって負担になりかねないケースもある。
ビジネスチャットのセキュリティリスク
結論から先に言えば、ビジネスチャットはセキュリティ強度が比較的高いコミュニケーションツールだと言える。「アカウントを配布されたメンバーのみのクローズドな環境で使う」という前提のツールであるためだ。一般的なコミュニケーションツールでよく起こりがちなセキュリティリスクについて、ビジネスチャットの場合はどのようなリスクが想定されるのか、それぞれ整理しておく。
・誤送信による外部漏えいのリスク
メールでもビジネスチャットでも、送信先を間違えてしまう、あるいは関係のないファイルを送ってしまうといった「誤送信」が起きうる。メールの場合、宛先に誰が含まれていても送られてしまうが、ビジネスチャットは管理者からアカウントを付与されたユーザーのみが利用するため、ファイルや情報漏えいの範囲がメンバーに限定される。
なお、組織外とのやり取りを含めて外部のクラウドストレージを利用する場合には、ビジネスチャットとは別にクラウドストレージに起因するセキュリティリスクが生じることになる。
Googleドライブなどのクラウドストレージを使う際のセキュリティ対策
https://eset-info.canon-its.jp/malware_info/special/detail/200324.html
・外部からの攻撃リスク
近年、メールを利用するユーザーを狙って標的型メールによる攻撃リスクが高まっている。巧妙な文面や関係者に偽装するなど、手口が高度化している中で、サイバー攻撃の被害に遭遇しないとは言い切れない。また、メールサーバーをブルートフォース攻撃でハッキングされてしまうといった攻撃に遭遇するリスクもある。
ビジネスチャットの場合、アカウントを付与されたユーザーのみの利用となる。そのため、外部からユーザーのアカウント情報を把握することは困難であり、標的型攻撃のリスクを想定する必要は大きく低減する。
なお、ビジネスチャットでは、一部アプリのオンプレミス版を除けば、事業者が管理するクラウドサーバー上に、すべてのファイルやテキストデータなどが保存されることになる。そのため、これらの情報が漏えいしてしまう可能性はサービス事業者の環境に依存することになる。
くれぐれも、ビジネスチャット導入時には、サーバーに関するセキュリティ対策をはじめ、サービス提供におけるセキュリティポリシーなどの文書を十分に確認するようにしておきたい。
・ファイル共有のリスク
メール経由でのファイル共有の場合、一部の大容量ファイル以外は、メールに添付する方法が一般的だ。
こうした方法の場合、先述のとおり誤送信による情報漏えいのリスクがある。この誤送信リスク軽減のために生み出されたのが先述した「PPAP」と呼ばれる手法だ。
PPAPとは、暗号化ZIPで圧縮したファイルをメール添付で送信し、別メールで解凍用パスワードを送る方法のことだ。しかし、PPAPはやり取りの相手に解凍するための作業負荷が生じるだけでなく、添付されたファイル内に、マルウェアが潜んでいる場合、暗号化されていることで検出されないというリスクもある。
ZIP暗号化(PPAP)問題におけるベストプラクティスは存在するか?
https://eset-info.canon-its.jp/malware_info/special/detail/210310.html
ビジネスチャットではタイムライン上にアップロードし、グループや特定の相手にファイルを共有することができる。また、多くのサービスで提供されているストレージ機能を用いて、外部ユーザーとファイルを共有することも可能だ。ただし、この場合はメール利用と同様に、共有用に発行されるURLやパスワードの漏えいに注意する必要がある。
・アカウント乗っ取りのリスク
標的型メールを用いた攻撃では、攻撃者が乗っ取ったアカウントを利用するといったケースも考えられる。また、最近ではOutlook経由で感染を広げた「エモテット(Emotet)」のように、アカウントを乗っ取って、マルウェア拡散に悪用する方法も行なわれる。
ビジネスチャットの場合もメールと同様に、アカウントを乗っ取られて不正利用されるリスクは存在する。アカウントの本人になりすまされると、ビジネスチャット上のファイルや情報にアクセスできてしまうという点では、メールよりも被害が大きくなる可能性も考慮しておく必要があるだろう。
アカウントの乗っ取りを予防するための対策
ビジネスチャットの場合、最大のセキュリティリスクはアカウントの乗っ取りと言っていい。そのため、ビジネスチャットの提供事業者においてもセキュリティ対策を強化している。
・IPアドレスによるアクセス制限
例えば、LINE WORKSやChatworkなどでは、クライアントのグローバルIPアドレスでのアクセス制限が可能となっている。ただし、IPアドレスで制限する場合、自宅やシェアオフィスなどでリモートワークを行なう際の利用は制限される。家庭向けのISPの契約では、定期的、もしくは接続ごとにIPアドレスが変更される場合がほとんどだからだ。そのため、こうした環境から利用する場合には、VPNを使って回避するなど少々手間を要することになる。
・複数の認証を利用する
近年、一定のセキュリティレベルが求められるサービスでは二段階認証が提供されているケースが少なくない。ビジネスチャットにおいても、アカウントの乗っ取り予防策として二段階認証を搭載しているサービスが増えてきている。複数の認証を用いることで、乗っ取りのリスクは大きく低減できる。
二要素認証と二段階認証の違いを理解していますか?
https://eset-info.canon-its.jp/malware_info/special/detail/210311.html
・複雑なパスワードを利用する
極論になるが、アカウントの乗っ取りはユーザーIDとパスワードを攻撃者に把握されなければ防ぐことができる。そのためには長いランダムな文字列(15桁以上を推奨)で構成される複雑なパスワードを採用するのが望ましい。パスワードが複雑であればあるほど、アカウント乗っ取りのリスクは低くなる。一方で、複雑なパスワードを設定することでログイン時の入力などが煩雑になってしまうという問題も生じる。
ChromeやSafariなどのウェブブラウザーに用意されているパスワード管理機能や、パスワード管理アプリを利用し、「パスワードは人間が管理しない」という対応を選択することも対策となり得る。
セキュリティを高めるために知っておくべきパスワード管理の基本
https://eset-info.canon-its.jp/malware_info/special/detail/200225.html
ビジネスチャットは、メールなど従来のコミュニケーションツールと比較してセキュリティリスクは相対的に高くないと言える。しかし、一定のリスクは存在し、乗っ取られた場合の被害は甚大になる可能性も考えられる。結局のところ、セキュリティリスクがゼロというツールは存在しないのだ。
どのようなツールを導入するとしてもリスクは存在するため、それぞれの特性に応じた利用方法やセキュリティ対策を講じることが肝要だ。ビジネスチャットに限らず、便利なものには何かしらのリスクが伴うという前提に立ち、適切な利用方法を周知・徹底していくことが求められている。