事業継続計画：CISOが今すぐ取り組むべき6つのこと

前例のない出来事によって、組織に事業継続計画の評価が迫られている今、私は、連邦政府機関で働いていた時のことを思い出し、当時のある経験談を皆様にご紹介したいと考えました。

米国HHS（保健福祉省）、CDC（疾病管理予防センター）、FEMA（連邦緊急事態管理局）から、連邦政府の機能の分断の恐れがある伝染性ウイルスについての通知が、電子メールと文書で送られてきました。

私を含む私のチーム全員は、リモートワークで仕事を続け、不確定な時期を乗り越えることになりましたが、多くのメンバーがノートPCを所有し、全員が携帯電話を持っていることから、サービスの継続にそれほど大きな影響はないと私は考えました。全国の数百のリモートサイトをサポートし、さまざまな場所に分散するメンバーが1つのチームとして働くことができました。さらには、我々が働いているのは、技術的に進歩した先進国なのです。これが、エボラ出血熱であったとしたら、状況はどれほど深刻だったでしょうか？

ところが、想像していたように事は運びませんでした。危機的な状況で、さまざまな場所に分散するメンバーが1つのチームとしてうまく働くことができませんでした。2014年のこの出来事は、実は単なる予行演習だったのです。このエボラのシナリオは、架空のウイルスの感染拡大を想定した、官民合同の訓練で、この訓練は残念ながら失敗しました。

自宅からのインターネットへのアクセスが「十分に速い」と言えなかっただけでなく、我々の部署の全員がノートPCを持っていたわけでもありません。携帯電話は普及していましたが、オフィスのデスクトップコンピュータに適したアナログではありませんでした。さらに悪いことに、部門の半数のメンバーはリモートでログオンできましたが、トラフィックによってVPNに負荷が集中してボトルネックが発生し、接続が遅くなり（またはブロックされ）、生産性に大きく影響しました（これは、遠隔医療を導入しようとしている病院では、特に大きな問題でした）。機器を整備し、勤務時間を組み換え、アクセスに優先順位を設定しましたが、利用していたVPNはそれでも集中する負荷を処理できませんでした。

今回は予行練習ではない

それから6年が経過しました。コロナウイルスの感染拡大による人的被害を予想できない今、企業は、従業員とコミュニティのメンバーの健康の確保に集中する必要があります。すべての組織が最優先で取り組むべきは、COVID-19の感染拡大に関連するリスクを軽減することであり、それを念頭に置いて、オフィスに出社することなく働く「ニューノーマル（新常態）」においても生産性を維持するためにできることを行う必要があります。

事業継続計画（BCP、Business Continuity Planning）を企業戦略の重要な要素とするべきです（すでにそうなっているのが理想です）が、そうでないとしても、今からできることはあるはずです。

運用の課題：全員のリモートワークを可能にする

BCPで今の旬のネタと言えば、（当然ながら）テレワークですが、これは、簡単なこと、つまり、オフィスで仕事ができなければ、在宅勤務にすればいいという発想です。多くのIT組織は、従業員の20〜30パーセントがリモートアクセスに対応できるように企業ネットワークの容量を計画しています。しかし、それが100パーセントになったらどうなりますか？すぐに対応できるでしょうか？世界中の多くのITリーダーが、全員を在宅勤務に移行し、オンラインにするのが簡単なことではないと認識するようになっています。

• VPNを利用して会社のリソースにアクセスする従業員が増えますが、現在のインフラストラクチャはそれを処理できるのでしょうか（答えは「できない」です）。
• 従業員全員をオンラインにするには、デバイスを利用する従業員全員をオンラインにする必要があります。当たり前のことですが、仕事に使えるノートPCを全員が持っているわけでも、代わりに利用できるマシンが全員の自宅にあるわけでもありません。埃をかぶったままサーバルームに置かれているノートPCが何台あるのでしょうか？
• 会議やインスタントメッセージングには間違いなく、コラボレーションツールが必要ですが、必要なときに全員が利用できる十分な数のライセンスがありますか？

リモートアクセスの負の側面：新しい脅威にさらされ、従業員は速さを優先して「決まりを守らなくなる」

リモート接続の制限よりも深刻な問題がもう1つあります。組織がVPNを利用して内部リソースやインターネットエグレスにアクセスする場合、アクセスする従業員の割合が（たとえば、100パーセントに）増えると、組織の潜在的な攻撃対象領域が大幅に拡大します。企業データの移動距離が長くなるほど、侵害の可能性が高くなります。

さらには、自宅でNetflixなどのダウンロードの速さに慣れているエンドユーザは、VPNの制約やMPLSのバックホールによって発生するレイテンシに不満を感じます。これは、ユーザが仕事を早く終わらせることを優先し、決められている方法を守らなくなるというリスクにつながり、結果として、内部システムが攻撃の標的になる恐れがあります。
 

リモートワークを可能にするための鍵：優先順位の設定、トリアージ、ローカルインターネットブレイクアウト

今こそ、セキュリティに対する考え方を変えるべき時です。前例のない情勢によって、アプリケーションやデータに安全にアクセスする方法が急速に変化しています。セキュリティを犠牲にすることなくリモートワークを可能にする必要がありますが、これは、セキュリティを低下させることではなく、これまでとは異なるセキュリティが必要であることを意味します。

接続やセキュリティのそのような課題に直面する中で、リモートワークを容易にするためには、CISOとして何ができるのでしょうか？この最も新しい「ニューノーマル（新常態）」においては、次のような判断が必要になります。

• 仕事に優先順位を付ける。最も重要な仕事はどれですか？どのようなリソースが必要ですか？延期（場合によっては削減）できる仕事は何ですか？
• アクセスに優先順位を付ける。仕事の優先順位にアクセスの優先順位を連動させることができますか？常時接続が必要な仕事は何で、不定期接続が必要な仕事は何ですか？作業の優先順位に基づいて、従業員に「段階的な」接続を提供する必要がある場合があります。
• デバイスに優先順位を付ける。ノートPCを誰が利用しますか？会計部門のリンダ、あるいはセールス担当のフレッドですか？その最後の1台のノートPCを一番必要としているのは誰ですか？
• コラボレーションアプリを制限する。追加のライセンスが必要になるため、短期的には、財務部門と協力して「保留になっている」支出（たとえば、出張やイベントのマーケティングの費用）を回してリモートワークを可能にします。
• 仕事の時間をずらす。接続の制限の問題を解決するため、状況によっては、ミッションクリティカルの作業を深夜の時間帯に切り替える必要がある場合があります。
• ローカルインターネットブレイクアウトを導入する。クラウド（さらに具体的に言えば、セキュアアクセスサービスエッジコンピューティング）には、従業員を安全にリソースにダイレクト接続することで、攻撃対象領域を少なくし、VPNボトルネックを軽減することが期待されます。

我々は今、この困難な状況を乗り越えようとしています。しかしながら、何かを学ばなければなりません（政府機関で働いていた時代には、「危機を無駄にするな」と口にしていました）。何よりも重要なのは、同僚やコミュニティの健康を確保することです。そして、CISOとしてできる最善のことは、リモートワークを容易にすることです。

皮肉なことですが、この嵐を乗り切ることで、嵐が過ぎ去った後に強い競争力を得ることができます。そして、嵐を乗り切ったからと言って、事業継続計画を止めるべきではありません。そうすることで、次の嵐への備えが万全なものになるはずです。

Stan Loweは、Zscalerのグローバル最高情報セキュリティ責任者です。