もともと、リモートワークといった働き方は、日本全体ではあまり浸透しておらず、革新的、先進的なことを積極的に取り入れるIT業界でさえも普及率はわずかなものでした。ところが、2020年初頭、中国から広まった新型コロナウイルス感染症の感染拡大に端を発し、日本もテレワーク、リモートワークを推し進めざるをえない状況になりました。その結果、この新しい働き方は、急速に世間一般に広がっています。
リモートワークの効率の良さを感じている方も多いのではないでしょうか?コロナの拡大は、そのことを人々に気づかせるきっかけに過ぎず、社員同士がリモートワークで互いに協力しながら業務を行う「分散型ワーク」は、今後も益々広がり続けることが期待されます。
そんな中、先日、グーグルの方とテレワークにおけるセキュリティに関して話す機会がありました。リモートワークが浸透していく現代においてGoogleが目指すセキュリティの新しい考え方が興味深かったので、私の見解も含めて少しまとめてみます。
グーグルのオフィスはインターネットの中
グーグルでは、新型コロナウイルスの以前から、この「分散型ワーク」を取っていたそうです。具体的に言えば、物理的なオフィスに出社しようが、カフェで働こうが、旅行先で働こうが、自宅で働こうが、一番パフォーマンスが高い働き方をすればいいという考え方だそうです。
グーグルの方と話したときは「グーグルのオフィスはインターネットの中」と言っていました。グーグルでは、既に業務に関するすべてをクラウド上に置いているため、どこにいたとしてもインターネットに接続できれば、仕事が滞りなく進められるそうです。これが今後の働き方のニューノーマルになるのでしょうね。
しかし、このリモートワークを中心とした分散型ワークに懸念点がないわけではありません。現状、最も問題視されていることは「セキュリティ」です。既に、リモートワークが始まってから情報漏洩を起こしてしまった企業も少なくありません。
VPNやバーチャルデスクトップの弱点は安全なネットワークを構築すること
リモートワークでは、社員同士が物理的に離れているため、互いにやり取りをするためには、インターネットを介した働き方が多くなります。現在主流の運用では、VPN、VDI(バーチャルデスクトップ)といったものを活用して自社のサーバーへとアクセスしている企業が多いのではないでしょうか。しかし、このVPN、VDIはセキュリティに関する問題を抱えており、実際に、VPNを使っている企業からの情報漏洩が後を絶ちません。
VPN、VDIはざっくり言えば、外部と隔離された安全な社内ネットワークの中に、外から通信をできる入口を作り、従業員に入口の鍵となるパスワードなどを提供することで、鍵を持つ従業員だけが入れる仕組みです。もちろん方法論として間違っているわけではないと思いますが、逆に、その安全な社内ネットワークに入ってしまえば、安全なユーザーと判断され、重要なデータなどに簡単にアクセスできるようになってしまいます。そこが、VPNやVDIの弱点と言えます。
グーグルにおけるリモートワークのセキュリティとは
安全なネットワークを構築すること自体が危険ということであれば、どうすればいいのでしょうか?答えは、守らなければならない領域をできる限り小さくすることです。グーグルにおけるリモートワークは、「Trust nothing」「Detect everything」という理念を基に築いたゼロトラストという考え方で安全を担保しているそうです。
Trust nothingとは?
具体的に言えば、全ての業務に関するデータをクラウドサーバーに置くことで、守らなければならない範囲を極端に小さくし、守らなければならない入口を最小限に設計しています。その上で、さらに、ログインの際の認証システム強固にすることでセキュリティ担保しています。
グーグルが取っている認証システムの特筆すべき点は、コンテキストの確認と動的なアクセス制限の2つです。ユーザーID、パスワードを用いたユーザー認証だけでなく、接続端末の種類やセキュリティ評価、アクセス場所、時間などを総合的に判断して認証を行います。そのため、悪意の持った第三者がなりすましてユーザー認証を突破する可能性は限りなく低いです。 加えて、たとえ認証を通過したとしても、ログイン中の不審な動きを感知して、動的にアクセス制限をかけることもできます。このように何重にも仕掛けられた認証プロセスにより、社外への情報流出を防ぎます。
Detect Everythingとは?
直訳すれば、「全てを疑う」ということですが、グーグルにはこれを実現するためにChronicleというツールを持っています。具体的に何をするシステム化と言えば、ワークスペースであるクラウド上において、全ての操作ログの管理、分析を行い、インシデントをいち早くキャッチしてセキュリティの脅威から利用者の情報を守るハンティングツールです。
グーグルでは、現在900名を超えるセキュリティエンジニアを抱えており、専門的にセキュリティの研究をしています。世界でもトップクラスの技術を持っているそれだけの人員が研究し続けるからこそ、新たな危険性もいち早く対応できているそうです。
ちなみに、この2種類のセキュリティですが、グーグルが培ってきた知見をサービスに落とし込んだ「BeyondCorp」「Chronicle」というサービスがあるそうなので、興味がある方は調べてみてください。金額的にお手頃な金額です。
安全なリモートワーク実現に向けてフルクラウド化を検討しよう
リモートワークは急速に普及していますが、これはコロナ渦における一過性の流れではありません。世界有数のIT企業であるグーグルの動向から分かるように、社員が各地に散らばり、インターネットというネットワークで連携をとる分散型のワークスタイルは今後ますます拡大していくことでしょう。その中で企業に求められていることは、リモートワークに対応するために、自社のインフラを見直すことです。