緊急事態宣言が解除――ところで御社の“緊急事態”は解除されましたか？：半径300メートルのIT（2/2 ページ）

2020年5月25日、政府が緊急事態宣言を解除しました。その後“東京アラート”が発令されましたが後に解除され、COVID-19対応は新たなステップに移行しつつあります。

[宮田健，ITmedia]

緊急措置を当たり前にしない

　ビジネスを平常に戻すに当たって気を付けたいのは、緊急事態であることを理由に甘くなっていた部分の再認識です。例えば、本来であればシステム管理者が制限していたVPN接続端末の許可範囲を、自宅PCでも接続できるように緩めていないでしょうか。あるいは、平常時は証明書が必要だったクラウドサービスの認証を、IDとパスワードのみで済むようにルールを変更していないでしょうか。個人のクラウドストレージに仕事のファイル群を置くことや、システム管理者が許可していないビデオ会議システムの使用を黙認しているケースもあるでしょう。

　これらは全て「テレワークが始まったから可能になったこと」ではありません。あくまで暫定的な措置であり、日常的な運用ルールとするには不適切です。とはいえ一度便利なツールを知ってしまった従業員は、わざわざ生産性を下げるようなことを受け入れにくいでしょう。今システム管理者がするべきなのは、リスクの再評価です。現在使われているサービスやツール、黙認していたルール違反を見直しましょう。

　セオリーに従えば、全てのセキュリティポリシーや運用ルールを元の運用に戻してからの再評価が望ましいことになします。しかし、今後も似たような緊急事態が起きないとも限りません。あらゆるルールの見直しを柔軟にできるよう、再評価のプロセス自体も見直す機会かもしれません。

テレワークは止まらない、だからこそセキュリティもちゃんとする

　緊急事態宣言が解除されたとしても、テレワークのニーズは減らないでしょう。企業によってはオフィスすら不要と判断するかもしれません。これをきっかけに境界型セキュリティを見直し、“信頼しない”ことからセキュリティを考える「ゼロトラスト」の考え方が一気に進むと、私は考えています。

　とはいえ、一気にゼロトラスト化ができるとも思えません。ひとまずVPNでオンプレミスシステムを活用しつつ、クラウドサービスとのハイブリッドな仕組みを使えば、場所にとらわれない働き方が実現できるはず。

　今回の件で多くの企業が「緊急対応であればテレワークでビジネスを継続できる」と気付きました。ならば、次はちゃんとセキュリティ対策を考えたうえで、安全なテレワークを実現すべきでしょう。

　次のタイムリミットは「悪意ある者がテレワークの隙を突くまで」。それは意外と、すぐにやってくるのではないかと思います。いや、もうやってきているのかも――。