経営に役立つ情報を知りたい経営者の方向けの記事

ゼロトラストという考え方―情報セキュリティの未来

コロナより前からはじまっていた働き方改革

電通の方が自殺したことを発端に始まった働き方改革の実態は単純に働く時間を短縮したというだけで、仕事内容は変わらず、溢れる部分は各自で何とか工夫してという、肝心の所は現場に押し付けるというものでした。

肝心の所を現場に押し付けるというのは、例えば5%の業務を圧縮する程度であれば効果的な方法だと思います。現場はある程度バッファーを持って仕事していることも多く、「やらなくてもいいけどやれるならやった方がいい」という仕事も多いため、そういったものを思い切ってやらないようにするには強制的に時間を短縮するのが一番早いと思います。

ところが、当てにしていた業務時間が1割、2割と削られていくと、今までの業務を維持するのは不可能で、確実に品質を落とすことになり、モチベーションも下げてしまいます。個人事業主になってよかったことの一つとして働きたければどこまでも働けるし、働きたくなければ自分で仕事を調整すればいいという点で、働き方改革が関係なくなったことでした。こういうのは自分の意思で決めるのが一番健全で、無理やり働かされるのも無理やり働かされないのも精神衛生上よくありません。そう考えると、供給より需要が上回る状況で自分の意思で働くというのが一番健全で楽しい状況なのだと思います。

働き方改革では遅々として進まなかったリモートワーク

働き方改革がはじまった時からリモートワーク・在宅勤務の話は徐々に大企業で試みが始まっていました。しかし、リモートワーク・在宅勤務には大きな障害がありました。労務管理の問題と情報漏洩の問題です。カフェや自宅など、事務所以外の所で働くことを許した場合、マネジャーのような管理者の目が届かないところで仕事をすることになるため、サボり放題と言えばサボり放題になってしまいます。しかしこの労務管理の問題は実はそれほど重要ではないと私は思います。

過去様々な記事で書きましたが、重要なのはリソースを就業時間内いっぱい稼働させることではなく、必要な時に必要なリソースが稼働して、リードタイムが一番短くなるように業務を行うのが正しいと考えています。つまり、必要な時に必要なリソースがあればいいのであって、それ以外の時にどれだけ遊んでいようがあまり関係ありません。リモートワークになって目が届かなかったとしても、就業時間内は業務が最優先になります。だから、在宅でこっそりゲームをしていても「この人は今なにも仕事を振られていないはずだ」とマネジャーが仕事を振った時に「あ、今ゲームしてるから無理です」なんて言う在宅勤務の人はいないはずで、リソース管理をちゃんとできていれば、別に事務所じゃなくても必要な仕事を必要なタイミングでやってもらうことは可能なはずです。あとは、技術的にリモートで作業をするために必要な紙をどうするのかとか、対面でやっていた打ち合わせをどうするのかなど運用上の話になってきます。運用上の問題はリモートワークをやろうと考えた時点で容易に想像がつき、できないものはできないですし、できる範囲でリモートワークをやるしかありません。

リモートワークを阻むセキュリティの問題

もう一つのリモートワークを阻む要因として、情報漏洩等のセキュリティの問題があります。普通に業務を実施していれば基本的には情報が漏洩することは無いですし、家庭からVPN等で防衛せずにWifiでネットワークにつなげたとしても、ハッキングされることは非常にまれだと思います。仮にハッキングされても、その情報がどれだけ重要かは人によって違いますし、盗まれても問題ない情報であればそこまで影響は大きくありません。

しかし、「万が一」の可能性があるだけでリモートワークに二の足を踏むことになります。大企業ほど不特定多数の人間が働いており、万が一の可能性は高くなるため、ほぼ大丈夫だったとしてもわずかでも穴があれば責任を取る立場の人はNoと言わざるを得ません。

ところが、今回のコロナウイルスで「できればできた方がいいリモートワーク」が「絶対にやらなければならないリモートワーク」になってしまいました。そうなってくると、そのわずかな穴には目をつぶり見切り発車でリモートワークを始めつつ、並行してわずかな穴を埋める手を打つ必要が出てきます。

家のような考え方のセキュリティ

従来のセキュリティの考え方は「家と外」のような考え方でした。つまり、泥棒に入られないように戸締りをきちんとするというイメージで組織内のネットワークと外部ネットワーク(インターネット)との境界にゲートを設置し侵入者を排除するものの、いったんゲートの中に入ったらだれでも自由に組織内のネットワークを利用できるという状態です。不正な侵入者は組織内のネットワークに入るところだけ頑張れば、組織内に入ってからは不正な侵入者であることが分かりません。

リモートワークはそもそも外部から組織内ネットワークにアクセスすることが必要になってくるため、この考え方だとリモートワークの人を外部からアクセスさせるために、不正な侵入者から見ても入りやすくなってしまいます。また、データのやり取りやソフトウェアを利用するために最近では社内のネットワークではなく、他社のクラウド環境にアクセスするということも多くなってきました。そうなってくると、外→外の関係で、いくら家の戸締りをきちんとしても意味がありません。

中と外という考え方を捨てるゼロトラスト

そこで、注目され始めているのがゼロトラストという考え方です。これは組織内ネットワーク、組織外ネットワークという考え方ではなく、アクセスしているデバイス(PC、スマホ、タブレット等の端末)は安全か否かを常にチェックするという考え方です。トラストとは信頼という意味ですが、全てのアクセスを全く信用せず、アクセスがあるたびにチェックを行うということです。

そうなってくると、一度登録されたデバイスであっても常時チェックされていますし、アクセスする先が外だろうが中だろうが、外や中という概念がなくなりますので関係なくなります。今後、クラウド環境にそういったセキュリティが実装されてくるでしょうし、強制的にそのような時代がやってくるのではないかと思います。