見出し画像

テレワーク:ゼロトラスト化と心理的安全

三井英樹@mitmix

テレワークが半強制的に大規模に実施されたのでセキュリティが置いてけぼりを食っています。そろそろ反動が来るはずです。セキュリティ管轄部門はこの数カ月間ヒヤヒヤしながら対応に追われていたと思います。でも、折角セキュリティを考えるなら、ゼロトラストも考えるべきタイミングです。そしてそのためには社内のアクセスに関する膨大な情報整理が待っています。しかし、それは取りも直さず「安心」を含めたセキュリティの基本です。

社内への接続方法は古いまま?

画像1

社外から社内システムへのアクセス方法は大きく分けると6パターン(総務省の「テレワークセキュリティガイドライン」とは少し違う分類をしてみました)。

1) ローカルPC方式(自分PCのお持ち帰り)
2)リモートアクセス方式(VPN経由で接続)
3)リモートデスクトップ方式(リモートデスクトップアプリで接続)
4)仮想デスクトップ方式(社内PCが仮想環境として管理されている)
5)クラウド方式(社内システムがクラウド的なもので運用されている)
6)ゼロトラスト モデル(アクセスが信頼性まで考慮されて設計)

1〜5はよく見るパターンで、6がこれからのモデルです。現状のセキュリティレベルが気になるなら、下記の設問を自問してください:

● テレワーク環境
 自腹端末はセキュア?
 貸与端末はセキュア?
 ネットワーク環境はセキュア?
● 社内環境
 オフィス端末はセキュア?
 仮想端末はセキュア?
 基幹システムはセキュア?
● クラウド環境
 ストレージはセキュア?
 SaaSはセキュア?
 各種パスワード管理は万全?
● 非クラウド化社内端末のメンテは万全?

諸々の設定をPCなどのデバイスが記憶してくれる時代になったので、大抵の場合は一度つながれば二回目以降は難なくアクセスしてしまうのですが、マシンを盗られたり、職位や権限が変わってしまったときには、防護壁がない状態に等しくなります。なので、「ゼロトラスト(全てのアクセスを信頼せず、攻撃されることを前提とする)」という概念のもと、誰がどの情報にアクセスして良いのかなどのポリシーとの突合やチェックを用いてセキュリティ度合いを上げるものです。正直言えば、ここ数ヶ月は「ザル」状態とも言えるところが多かった気がしますので、締め付け側の反動が来るのはむしろ自然です。ただ、すぐには実装できない壁がありますので、別の意味でセキュリティ主管部は大変です。

「安全」から「安心も」の時代へ

誰がどのファイルを見ることができるのか、逆に言うと誰とファイル共有したければどういった対応をしなければならないか。一見七面倒臭い監視系ルールの様に思いがちですが、一定のルールに従えば間違わずに共有したい人とだけ共有できる仕組みに価値があります。

メールの宛先間違いで社外秘が顧客に漏れたり、悪意ある人によってデータが盗られたり、注意や監視ではどうしても漏れが出ます。ですから、ルールで縛ります、そして縛られていることには普段気が付かないようにITを活用します。そのためには設計が命ですし、組織が秩序だっていなければなりません。それがこれからの課題です。

社内だけでなくテレワーク環境からのアクセスに対しても権限などのチェックが裏できっちり行わる世界。だからPCなどのが盗られても良いという話ではありませんが、盗られても後処理が楽になります。

情報の流れが整理されている状態に「安心感」を持つ方も多いと思います。最近よく聞く「心理的安全(psychological safety)」の一端だと私は思います。自分の家には知らない人間が入ってこないという安心感があるから安らげます。「安心して働ける環境」には、各種システムへのアクセスまで含まれていると考える方が普通ですね。

カオスのアクセス状態から、秩序だったアクセスへ。この辺りだけでも大変な作業が待っています。でも、それだけではないです。まだまだやらねばならないことが待っています。

コロナ後の道

画像2

テレワーク化は、未知の別世界への航海です。それなりに備えも必要です。船出に必要なのは最低限下記7点:

1)覚悟/意思決定力(「成長痛」あり)
2)信頼関係(監視強化は破綻への道)
3)速度(勢いで乗り切る問題)
4)適切な道具選定とその教育
5)忍耐力(試行錯誤の継続)
6)判断力(データを見る目)
7)資金(ある程度の軍資金)

世界が変わったしまった状況で、既存世界に固執するのも「覚悟/意思決定力」で、闇雲に変化だけが正しい訳ではありません。ただ、現状のITの深化を考えるなら、テレワーク化へ、更に現状囁かれている懸念点(ゼロトラスト、心理的安全、DXなど)へ進路/航路を採った方が報われる未来が待っているように思います。

でも考えてみれば、FAX廃棄も完全には未だできていませんし、PC導入も多少の漏れがありそうだし、Windows10への更新も完全とは言えないかもしれない現状です。更に紙や印鑑からの脱却に、同一オフィスに居るとは限らない職場環境へのシフトが待っています。新人獲得がその辺りに左右される予感が強いですので、どれもサボれません。「え〜、未だに週3日も出勤?」「げー、未だにハンコぉ?」そんな捨て台詞の元、若手が見向きもしなくなる可能性だってあります。

攻撃されるのが当たり前、何も変えなければ変革しなければ若者から見捨てられても当たり前、このコロナは色んな意味でポジティブ志向とネガティブ志向とが重なります。複合的複眼的に現状を見渡した上でのチャレンジが必要です。

そして、大きなチャレンジをなし得るには、強力なリーダーシップと責任感が求められます。そもそも誰も体験したことのない世界への出発です。そろそろ権限移譲も含めて会社のビジョン策定レベルから再定義した方が、諸々の場面でより良くより速くなりそうな気がしてなりません。

この記事が気に入ったらサポートをしてみませんか?