「ゼロトラスト」への対応を急ごう

（リモートワーカー協会代表理事　中島洋）

　リモートワークが当たり前の働き方になるためには、まだまだ、たくさんの「障害物」が転がっている。腹が立つのは、その「障害」を一つ一つ取り上げて、「だからリモートワークは無理なんだ」としたり顔に主張する方々が少なくないことだ。「不惑の歳」の２倍に近くなって感情の動きが鈍くなっているはずの筆者が思わずイライラの頂点に達し、血圧も急上昇する。ただ、実際に「障害」があるのは確かで、取り除くための努力が必要だ。

　大きな「障害」になるのがリモートワークの「セキュリティー」の甘さである。これはリモートワークだけの問題ではないのだが、ロシアや中国、北朝鮮などが国家戦略として「サイバー軍」を組織して仮想敵国（もう仮想ではないかもしれないが）の情報窃取やネットワークの破壊攻撃を企てるようになって重要性が一段と注目されるようになってきた。重要な行政機関や大企業がサイバー攻撃を受け、情報の流出や情報システムの停止に追い込まれた。さらにロシアがウクライナ軍事侵攻を始めるやウクライナ支援国にはサイバー侵攻（攻撃）を仕掛けてきたので、いっそう、危機意識が高まっている。

　時期を同じくして、新型コロナウイルスによるパンデミックの勃発によって日本でも一気にリモートワークが浸透した。オフィスに出勤するのを行政によって自粛させられたので、最初は拙速でも、ともかくリモートワークへと移行したのだが、少し落ち着くといろいろ問題点が浮かび上がってきた。その最たるものが「セキュリティー」なのである。

　これまでのセキュリティーの考え方は、オフィス内部と外部をファイアーウオールで隔てて内部の安全性を守る「境界型セキュリティー対策」だった。認証を得て内部に入れば信用できるユーザーとして比較的自由にいろいろな情報にアクセスできる。しかし、情報システムを外部と切断してオフィスの中に閉じ込めても安全ではないことがはっきりしてきた。いろいろな手段でファイアーウオールを潜り抜け、内部の情報システムがサイバー攻撃を受ける被害が増加してきた。一度入った攻撃者が内部のいろいろな情報に不正アクセスし、情報の窃取やファイルの破壊などの被害を広げる。

　リモートワークも外部からの侵入に利用されている。オフィス内部にいれば、無意識のうちにセキュリティー対策で守られてきた。そのオフィスにいる感覚で端末を扱っていると攻撃者に狙われる。外部からオフィスの情報システムにアクセスする認証情報を盗まれて、「なりすまし」で侵入されて被害が広がる。端末に問題があるのか、回線に問題があるのか、複数認証方式が不十分なのか。

　もちろん、リモートワーク以外にもいろいろな原因が考えられる。そうした原因も含めて攻撃を封じ込めるのに浮上してきた新しいセキュリティーの考え方が「ゼロトラスト」である。「何も信用しない」という考え方だ。インターネット登場の初期には、ネットワークは「信頼しあうコミュニティー」という共通理解があったが、あれこれの変遷を経て、ついに徹底的に信用しないコミュニティーになってしまった。

　もちろん究極のセキュリティーは「すべて封鎖する」という中国のゼロコロナ対策のようなものだが、これでは何も活動できず無意味である。「ゼロトラスト」では情報のアクセスにはポイント、ポイントにゲートを設けてその箇所ごとで端末の安全性、回線の安全性、複数認証の実行などを頻繁に点検する。厳しいチェックが行われることになる。

　本社のオフィスからリモートワークに切り替えた社員だけでなく、ネットワークを使う取引やリモートワークの業務を委託する契約先なども漏れなく「ゼロトラスト」の対象になってゆく。セキュリティーのためのガイドラインが企業ごとに策定されて、研修などが行われるだろう。その際には端末のセキュリティソフトの最新版への頻繁な更新、安全性の不明なサイトへのアクセス制限、指定外のクラウドサービスへの接続禁止、遮断など、これまでとははるかに高次の意識改革が要求される。この要求を満たせなければリモートワーク業務の継続は難しくなる。

　一刻も早く「ゼロトラスト」に基づくセキュリティー要求に応じられるリモートワーカーに変身しなければならない。業務の効率は落ちるのだが、効率か、安全か、を問われれば、安全が優先される時代になった。急いで「ゼロトラスト」に対応しなければならない。