※ 本記事は https://www.securityroundtable.org/4-steps-to-secure-remote-productivity-in-a-crisis/ をベースに作成されています。
はじめに
2020年はじめ以降おそらくどの組織も新型コロナウイルスCOVID-19(SARS-COV-2)への対応で苦労されていることと思います。とくにITやビジネス部門トップの皆さんは、時間が限られるなかで従業員が在宅で自社のデータやサービス、アプリケーションにアクセスできるよう、大規模な環境変更を余儀なくされたのではないでしょうか。
このコロナ禍でただちに在宅勤務に切り替えて安全なネットワーク環境を提供できた組織は残念ながらさほど多くありません。それでも事業を継続したければ、どの組織もこの「新しい生活様式」に順応して変わっていくほかはない状況です。
弊社にしても例外ではありません。ただ、もともとクラウドやネットワークに強いセキュリティ企業であったことが幸いし、IT事業継続計画が事前に整っていたぶん有事には強かったといえます。おかげでコロナ禍の深刻さがあらわになるなかでも事業継続性を確保しつつ、従業員やお客様の生産性を伸ばす対応ができています。そうはいっても、このニューノーマル時代は組織単独で乗り切るのはむずかしく、情報を持ち寄って共有することがとても大切です。そこで弊社も率先して、社内でおこなってきた対策のヒントを共有したいと考えています。
以下、弊社が今回の対策として行ってきた施策のなかで、同じ苦労をされているほかの組織にも役に立つと思われるヒントを大きく4つにまとめました。ぜひ協力してパンデミック時代をともに乗り切っていきましょう。
テレワークの生産性と安全性を確保する 4 つのヒント
ヒント1: リモートから社内のリソースに安全にアクセスできる環境を整える
社員の健康と安全は事業継続の礎です。そこで弊社では日本では1月末頃から、グローバルでは3月初旬頃から、リージョンごとに時差勤務と在宅勤務とを選択できるようにして対応してきました。3月下旬頃からはパンデミックの広がりが深刻化したため、全社員が在宅勤務する体制にシフトし、本稿執筆時点では「FLEXWORK」制度により「従業員自身がどのように働きたいかを決めて出社、時差出勤、在宅勤務を選択する」しくみをとっています。
この3月下旬の、ほとんどの社員が完全に在宅勤務にシフトした時期には、最初の一週間で社内の帯域使用量が120%以上増加しました。帯域使用量の急増は事業継続性に直接影響しますので、適時の対応がもとめられます。
弊社の場合は、クラウドベースのネットワークセキュリティプラットフォームを採用していたため、帯域急増時も容易にスケールできました。
特定の通信をほかと分けるスプリットトンネルの採用も有効でした。ZoomやYouTubeなどビデオアプリケーションのトラフィックをほかの通信から切り離して扱うことで、帯域幅急増の問題を緩和することができました。
このほかメッシュネットワークの採用でエンジニアがリモートからでも本社内のさまざまなリソースにスムーズにアクセスできるような工夫もしました。
さらにゼロトラストセキュリティモデルがリモートからの安全な接続を語るうえで欠かせない要素となりました。弊社では、このゼロトラストモデルと、次世代ファイアウォールのもつ認証情報保護機能、すべての主要アプリケーションに導入済みの二段階認証機能、これら3つを組み合わせることで、社員が物理的にどこからアクセスした場合でもおなじセキュリティポリシーで対応できるようにしています。
ヒント1のまとめ
テレワーク時代に推奨したい施策:
- クラウドベースのネットワークセキュリティプラットフォーム
- スプリットトンネルによる帯域圧迫の緩和
- メッシュネットワークによる接続性の安定化
- ゼロトラストセキュリティモデルによる場所をとわないセキュリティポリシーの施行
ヒント2: あらゆるものを数値化して測る
何かの効果が知りたければ、具体的な数値指標やSLA、SLO でそれを明確に測定できるようにしなければなりません。たとえばシステムの可用性なり、特定のツールの性能や生産性や使用率なりを数値で測定することで可視化します。弊社の場合、社員全員が見られるITのBCPダッシュボードを用意し、そこから週次ベースでそれら項目の数値指標の変化を俯瞰できるようにしています。
このBCPダッシュボードではたとえばメールの流量からSlackやZoomのアクティブユーザ数、GitHubのコミット数、ヘルプデスクのチケット数、チケットあたりの平均対応時間、チケットのオープンからクローズまでの処理時間など、ありとあらゆる内容が確認できるようになっています。
なにしろIT部門のスタッフを含む全社員が在宅で仕事をしていますので、従来のようなコミュニケーション手段には頼れません。環境内の数値を定常的に測る手段がなければ、環境内で何が起こっているのかの把握はむずかしいので、私たちは可能なかぎり数値化を進めています。そうすれば自社環境内でうまくいっているものとそうでないものを識別し、「たぶんこうだろう」という思い込みではなく、実データをもとに有効な対策を打てるようになります。
ヒント2のまとめ
- 有効な対策は可視化から。社内環境の動向を数値指標で測定しよう
- 従来のコミュニケーションにかわる手段でITの問題を社員にも把握しやすくしよう
ヒント3: 「どこでもITヘルプデスク」を実現する
今回のパンデミック以前から弊社では、社員が気軽に立ち寄りすぐにIT部門のヘルプを受けられる「テックオアシス」というサービスを各オフィスに導入していました。今は社員全員が在宅勤務しているので、リモートからでも効率的にITヘルプデスクを利用できるようなしくみをつくり、テックオアシスのスタッフや最初の問い合わせ対応にあたるスタッフにはそのしくみ経由で対応にあたってもらう必要がでてきました。
ITスタッフも基本は在宅勤務ですので、機材の出荷処理などでどうしても出勤が必要なスタッフごく少数をのぞきオフィス出社はしていません。弊社では、そのほかのすべてのITヘルプデスク関連処理をリモートの活動に特化したかたちに作りかえていきました。
たとえば、従来のメールや電話にくわえ、Slackのチャンネルからサポートを受けられるようにしています。これにより、ふらっとテックオアシスに立ち寄るのと同じ感覚で、気軽にITスタッフに相談ができるようになりました。
また、SlackにはAIをつかったボットを実装してかんたんな質問であればそれで対応できるようにしました。これで対応できる内容は主に次のようなものです。
- パスワードの失効などでVPNに安全に接続できなくなったときにリモートからパスワードをリセットしてアクセス可能にする
- セルフサービス用アプリを用意し多要素認証リセットを自身で行えるようにする (これは自社のCortex SOARを使ったボットサービスをSlackと連携させて実現しています)
- マネージャが自分でかんたんにリモートから社員の入退社処理を行えるようにする
とくに入退社処理は特定の手順を踏まないといけないので、IT部門はバーチャルでこの処理を行えるよう、事前に採用する側のマネージャの皆さんと相談しておく必要があるでしょう。具体的には、デジタル上での入社処理をどのように行っていくかや、新入社員のオリエンテーションをどうやってリモートから仮想的に行うかについて決めておく必要があります。
弊社の場合、ここにSaaSアプリケーションとゼロトラストセキュリティモデルを組み合わせて使い、さらには会社支給のセキュリティ対策を導入して認証情報の管理をしっかり行うことで、どんな機材を付与する場合でも、新入社員がスムーズに業務に入っていけるようにしています。
ヒント3のまとめ
- 従来のITヘルプデスク担当スタッフの働きかたは変わらざるをえない。だからリモートからでも出社時同様に効率的に社員を支援できるしくみづくりをしよう
- 基本的なITヘルプデスク業務は自己解決できるツールを用意したり、AIで効率化・自動化できるようにしていこう
- 入退社処理のバーチャル化は必至。安全に行えるようなしくみづくりをしよう
ヒント4: とにかく社員との対話を大事にする
誰かに聞かれる前に情報を出していく、大切なことはこれにつきます。ですから弊社ではイントラネットにパンデミック関連の自社の対応情報を毎日掲示したり、Slackに新型コロナ関連の相談ができる専用チャンネルを設けたり、マネージャと部下とが互いの状況をこまめに交換できるしくみづくりをしてきました。さきのバーチャルBCPダッシュボードもこうした「聞かれる前にみんなと情報を共有する」しくみづくりの一環です。
社員には先回りして情報を発信し、いろんな手段で連絡がとれるようにすることで、社員の困りごとや不安を放置しないことが大切です。そのためにできることにはたとえばITのBCPダッシュボードを広く共有し、対応状況を誰でも見えるようにしておくことや、ZoomやSlackなどを活用して自社のリーダーがバーチャルに社員と指針を共有したり対話できる環境をととのえておくこと、イントラを毎日更新することなどがあります。ここにたとえば全社員にたいして行われたミーティングの録画ビデオを掲載したり、目を通してもらいたい重要なブログなどをリンクしておくようにすればよいでしょう。
ヒント4のまとめ
- リーダーはこまめな情報発信で社員の不安に寄り添おう
- 常に社員の求める情報を先回りして出していこう
- IT部門はリーダーと社員との間でスムーズに情報が伝わるよう橋渡しをしよう
まとめ
事業存続のためにはパンデミック時代に即した働きかたに誰もがシフトしていかざるをえません。そのためのしくみづくり、環境づくりで支援するのが、各組織のIT部門にもとめられる役割です。リモートから自社のリソースにアクセスするための通信網、機材、サービスやインフラはもちろん必要ですが、それらのリソースにどの場所からでも安定してかつ安全にアクセスするためのしくみを提供すること、そして従来のコミュニケーション手段が利用しづらくなるなか、いかにバリアを感じさせずこれまでと遜色なくコミュニケーション機能を担保していくか、これがいまIT部門に課せられた重要課題といえます。
いまは先行きの不透明な時代です。組織のリーダーは在宅勤務で公私のバランスをとるのに苦労している社員の不安に寄り添って柔軟に対応をしていかねばなりません。自社の対応状況に関する情報も、どれほど出しても出しすぎということはありません。
社員はほしい情報をしっかり受け取ることができ、リーダーは自身のメッセージを社員に行き渡らせることができる。そしてその仲立ちをするIT部門が、最適なテクノロジーを組み合わせたしくみづくりで両者を支えていかねばなりません。いまこそIT部門リーダーの手腕が問われるときです。上記から自社に応用できるヒントを見つけ、みなさんの組織のIT部門がうまくチームをまとめ、この難局をともに乗り切っていけるよう願っています。