2020年4月に新型コロナウイルスの感染拡大に伴う緊急事態宣言を受け、多くの企業が急遽テレワークに乗り出した。その後緊急事態宣言の解除を受けて、徐々にオフィスに出社する今まで通りの働き方に戻る企業がある一方で、通勤時間や固定費の削減、生産性向上といったテレワークの利点を評価し、今後も継続する方針を示した企業もある。

多くの企業がテレワークを体験し、場所を問わない柔軟な働き方の利点を体感しただろう。一方で、「テレワーク環境下でのセキュリティ対策をどのようにするか」「従業員がどのように働いているかが見えない」「顔が見えない中でどのように研修し、社員を育てていけばいいか分からない」などといった新しい課題に直面している。

エムオーテックスが開催したオンラインセミナー「テレワークの実践事例で考える　セキュリティを考慮したIT環境のひも解き」では、セキュリティ企業の株式会社ラック（以下、ラック）でセキュリティアカデミー部長を務める白井 雄一郎氏、ヤフー株式会社（以下、ヤフー）を含めたZホールディングスグループ全体のセキュリティ研修を担う太田 俊明氏を招き、エムオーテックスのCISO（最高情報セキュリティ責任者）を務める中本 琢也 氏との対談を通して、テレワークを体験したからこそ見えてきたさまざまな課題にどのように向き合うかを、ラックの近藤 有馬 氏がモデレーターとなって探った。

VPN問題の先に浮上した「見えない」ことの不安

はじめにエムオーテックスの中本氏が、どのようにテレワークの環境構築に取り組んだかを紹介した。

エムオーテックスも多くの企業と同様に、3月末から4月にかけて慌ただしくテレワーク対応を進めた。緊急対応的にテレワーク環境を整え、一息つくまもなく、4月から5月にかけて今度は従業員からの問い合わせ対応などの課題が浮上したという。そんな試行錯誤を経て、6月以降はひとまず落ち着きを見せる「定着・安定」期に入った。今後は「元に戻すのではなく、ここからさらに新しい時代に向けた改革や進化を目指していきます」という。

エムオーテックスにおけるテレワークの第一歩は3月27日、東京オフィスへの出勤を停止することから始まった。このときは電話を大阪に転送するなどして対処できたが、問題は新型コロナウイルスによる緊急事態宣言後、全オフィスへの出勤を見合わせる判断を下してからだった。その中で同社は「業務を止めないこと」を最優先に、さまざまな取り組みを進めてきたそうだ。

最もユニークで効果があったと感じている取り組みは、社長や本部長、役員などをメンバーとする会議を一日に二回行う体制をすぐ整えたことだ。「緊急時なのですばやい判断が必要になると考えて、その日出た課題はその日中に判断する会議を行いました。OODAループ的な形で対応できたことが一番ありがたかったです」（中本氏）。頻度は一日一回に減らしたものの、この会議は現在も継続中だ。

ほかにも、以前はオフラインで実施していた「朝礼」をZoomでオンライン化したり、その内容を録画してMicrosoft 365のストリームで配信して議事録を廃止するといった取り組みを行った。顔を合わせてのコミュニケーションができない分、Zoomやその他のツールを用いたオンラインの雑談会、飲み会なども企画しているという。またソフトウェア開発者がストレスなく開発ができるよう、RDP経由でオフィスのデスクトップPCにアクセスできる環境を用意したほか、複数のツールを組み合わせてリモートでのペアプログラミングやタスク管理などを実現した。

一連の対応の中で最も課題を感じたのはVPNのキャパシティだったという。「おそらく皆さんも同様でしょうが、『VPNが足りない』という問い合わせが殺到しました。そこで一部はVPNを使わずシングルサインオン（SSO）での認証に切り替えて乗り越えました。緊急対応後も徐々にSSOの範囲を増やし、多くの社員がVPNなしで利用できる環境にしています」（中本氏）

最後に残った課題は、隣の人が見えないことによる「不安」だった。例えば、物理的に同じオフィスにいれば、遅くまで残業している人がいればすぐ分かる。それがリモートになると、サービス残業していたり、誰かに負担が集中してしまっている状況が見えなくなるのではないかという懸念が生まれたのだ。

そこで活用したのが、自社製品の「LanScope Cat」だった。これまではセキュリティの目的で操作ログを活用しているツールであり、実際テレワーク環境でも、業務上の必要に迫られ管理下にないUSBメモリやビデオカメラなどの新しいデバイスが使われていたといった実態をアラートを通じて把握できた。だが、これまで使われていなかったセキュリティ目的以外のログを活用することで、テレワークにまつわる不安を解消できる可能性を感じているという。

その日パソコンでどんな操作をしたかが分かるため、悪意ある操作だけでなく、いつからいつまで仕事をしていたのかといった事柄も見える化ができる。実際に中本氏の部署では、テレワークに関する問い合わせ対応で遅くまで残って頑張っていたメンバーがいたことが分かったため、負担が集中しすぎないよう業務を整理したという。

このように一日の仕事を可視化することによって、「従業員の姿が見えない」という不安が解消できるのではないかと考え、エムオーテックスでは新たに、勤務状況の「見える化」の先の「見せる化」を実現する機能をリリースした。「見えないものを見せるようにすることで、正しい働き方につなげたり、データを元にチームでコミュニケーションを取ったり、『社員』という会社にとって大事な資産の安全と生産性を守っていきたいと考えています」と中本氏は述べた。

勤務状況の「見せる化」で、セキュリティ製品を喜ばれる存在に

こうしたエムオーテックスの取り組みに対し、ラックの白井氏は、「セキュリティの三要素は機密性と完全性と可用性だが、やはりコロナのような緊急事態で重視されるのは可用性であり、会社を回すことが重視されるのだなと感じました」と述べた。

多くの企業が急ピッチでテレワーク環境の整備を進めた理由もそこにあるだろう。ただし、今後テレワークが当たり前になってくると、テレワークを前提としたセキュリティも考えなければならない。機密性や完全性は大きな課題になり、見落とされがちな人や規定、ルール面の整備も求められるだろうと白井氏は述べ、課題はまだ山積しているとした。

一方で、「セキュリティの仕事には業務を圧迫したり、厳しくしたりする側面があるため、なかなか喜ばれにくいのが事実です。しかしエムオーテックスの取り組みからは、モニタリングが、不正の阻止だけでなく勤務状況の見える化といった副次的効果をもたらす可能性を感じました」と述べた。

ヤフーの太田氏も、セキュリティと生産性を両立させるプロダクトが非常に重要だとあらためて感じると述べた。セキュリティへの投資は「マイナスをゼロにするもの」という印象が強く、売り上げに直結するわけではないため、予算取りがスムーズにいかないこともある。だが、生産性と両立できるセキュリティプロダクトが増えていけば、この先セキュリティに対する見方も変わってくるのではないかと太田氏は期待を寄せた。

実は太田氏も、テレワークへの切り替えに伴って、自分の作業状況がどう捉えられているのか不安を感じるケースもあるそうだ。たとえば企画を検討する際に、オフィスではホワイトボードを前に検討する様な作業では「ああ、何か考えているんだな」ということが傍目にも分かった。それがリモートワークでは「PCに触れていないから作業していないのではないか」と受け取られるシチュエーションが増えないか、懸念していたという。（※ヤフーでは上長とメンバーとの1on1の実施回数を増やし、メンバーの勤務状況を正確に把握できる施策を実施しています）

これに対し中本氏は、信頼関係を前提に働き方をオープンにすることが1つの解決策になると述べた。そして「むしろ、企画担当なのに小刻みにメールばかりしているようであれば、『集中する時間が取れていないから、ちゃんと考える時間を確保した方がいいんじゃないか』と提案するような使い方を目指したい」とした。

太田氏はこれを受けて、「セキュリティ製品はどうしても『これをやったらだめですよ』という方向に行きがちです。しかしそうではなく『改善するためにはどうしたらいいのか』を考えるためにデータを活用していけば、より効率的に作業し、残業時間を減らしてその分をワークライフバランスの改善につなげるといった具合に、会社も個人もハッピーになるのではないか」と述べた。

基礎体力作りだけでは力は付かない、練習や練習試合の重要性

セミナーの後半ではヤフーの太田氏が、「ヤフーでのリモートワーク対応とセキュリティ教育」と題して、どのように社内のセキュリティ教育を進めてきたかを紹介した。

ヤフーは2014年頃から「Update 働き方」をスローガンに掲げ、「どこでもオフィス」という名称でリモートワーク体制を整えてきた。ほぼ全社員がリモートワーク、テレワークができる制度だが、活用は一部にとどまっていたという。

それがガラッと変わったのは、やはり新型コロナウイルスの影響だ。2020年2月上旬から全社員がリモートワーク勤務となった。その中で「リモートワークの従業員に対して教育、特に私が担当しているセキュリティ教育をどう実施していくかが課題になりました」と太田氏は振り返った。

ヤフーではコロナ以前から、さまざまなセキュリティ教育の取り組みを進めてきた。特にユニークな取り組みは、2016年から実施してきた実践型セキュリティ総合演習「Yahoo! JAPAN Hardening」だ。仮想環境を用意し、エンジニアだけでなく広報やカスタマーサポートなどさまざまな役割のメンバーがチームを組んで、インシデント発生時にどう意思決定を下して対応するかを本番さながらのシナリオに沿って体験する。

こうした取り組みを実施してきた背景には、座学だけでは力が培われないという思いがあるそうだ。「座学は基礎体力作りに当たります。基礎体力は大事ですが、それだけでは試合に勝てません。机上訓練で練習を積み、その後に実践的な演習、つまり練習試合で経験値を積んで本番に臨むわけです」（太田氏）

現実世界のスポーツと違うのは、大会日程が決まっているわけではなく、24時間365日試合をしている状況ということだ。このため、試合日に合わせて組み立てるのではなくて、随時備えていくという心持ちが必要だと述べた。

実践的な訓練から生まれる他部門への理解と組織力の向上

社内外から好評を博したYahoo! JAPAN Hardeningだが、企画や準備には相当の労力がかかる。また、ZHDグループに対するより効率的なセキュリティ教育を模索する中で、今では「人」と「組織」の両面でいくつかのセキュリティ教育を進めているという。

その1つが、ラックの協力を得て実施している机上訓練「もしものときのセキュリティ訓練」だ。ラックが以前から提供してきたインシデント対応訓練をヤフー向けにアレンジしたもので、グループに分かれて「こんなインシデントが発生したらどう対応すべきか」を考え、実際に動く演習となっている。白井氏は「いろいろなシナリオの中に罠が仕掛けてあり、失敗していただき、そこから気付きを得ることを主眼とした研修になっています」と説明した。

さらに、仮想環境上で繰り返し手を動かして演習できる「Micro Hardening」を開始したほか、組織としての対応を訓練するため机上訓練を社内で内製するなど、さまざまな取り組みを進めている。

太田氏は、一連の訓練によってさまざまなインシデントの例を知り、対処を体験できることも大きいが、何より「ほかの部門に対する理解が深まり、組織力が高まることが大きな効果です」と述べた。

もしものときのセキュリティ訓練では、重篤な事故が起きるとその対処だけでなく、外部に向けた情報発信も準備しなければならない。プレスリリースを打つのか、それ以外の方法でユーザーに連絡するのか……とさまざまな選択肢を考えながら対応を迫られる。それを実践的に経験することで、たとえば「広報担当はどんなことを考えて情報を出しているのか」「カスタマーサポートは何に気をつけるべきで、どんな情報が必要なのか」といったことを文字通り「体感」できる。

「これにより、他部門への理解が非常に深まります。『あっちの部門ではこういう材料が必要だから、インシデント対応時にはそれも送ってあげないといけないな』となりますし、ひいては『通常時からこういうやりとりが必要だね』という具合に、部署間の関係性も改善されます。そんなふうに組織力を強化する意味があると気付きました」（太田氏）

コロナ禍で、自宅などばらばらに作業することが増える中、組織としての一体感や連携をどう養うかが重要な課題だとし、その意味でこうした訓練はすごく重要であるとした。

ラックはこの机上演習訓練を2004年から開始し、改善しながら提供してきた。白井氏は、参加者が一箇所に集まって実施する方が盛り上がり、複数の会社や組織から参加者があると他社の考え方や悩み相談会に発展することもあるというが、昨今の状況を受け、Zoomなどを活用したリモート訓練も公開している。

「この先テレワークが当たり前になったときにインシデントが発生したら、最初はどうしてもリモートで対応していかなければなりません。そのときにちゃんと動けるのかどうかのチェックが必要です」と白井氏は言う。

実際にリモートで訓練を実施してみると、ホワイトボードのように情報を一目で分かるように整理して共有するにはどうしたらいいのか、複数の担当者が同時並行で異なる話題を話し合うにはどうしたらいいのかなど、オンラインならではのいろいろな課題が浮上し、新たな気付きが得られるという。

中本氏も、テレワーク体制の中でオンライン教育コンテンツの作成、配信などに取り組んでいるが、やはり受講者のリアクションが見えにくい部分に歯がゆさを感じているという。「教育・座学という筋トレをしつつ、練習試合も実施するというバランスが大切だと思います。ぜひエムオーテックスでも取り組んでみたい」と述べた。