事業継続計画：CISOが今すぐ行動すべき6つのこと

未曾有の事態が起こっている今、企業は事業継続計画の見直しを迫られています。この記事では、私が政府機関に勤務していた頃の経験をお話したいと思います。

当時、私たちのもとには、米国保険社会福祉省（HHS）、疾病対策センター（CDC）、連邦緊急事態管理局（FEMA）から、電子メールや声明発表が次々に届いていました。その内容は、「伝染性のウイルスによって連邦政府が機能不全に陥る恐れがある」というものでした。

私とスタッフは、期限は予測できなかったものの、リモートワークを予定していました。「ノートパソコンや携帯電話があるのだから、さほど影響はないだろう」と、考えていたのです。当時、私たちは、世界各国にある数百のリモートサイトをサポートしていましたが、危機的状況が発生したとしても、チームが分散して仕事を続けることは可能でした。また、私たちが対応するのは、高度なテクノロジを持つ先進国です。そのような中で、エボラ出血熱が大流行しました。

対応は十分とは言いがたく、実際、分散したチームが仕事を続けることは不可能でした。2014年に発生した大流行は、振り返ってみれば、単なる演習にすぎませんでした。エボラの流行は、仮説的なウイルス流行時における事業継続に向けた、市民と政府機関の合同演習だったのです。私たちはこのテストには合格できませんでした。

私たちの部門にはノートパソコンを持っていない職員がいたほか、自宅からのインターネット接続はあまりに低速でした。携帯電話は広く普及していましたが、その機能は、オフィスにあるデスクトップコンピュータには遠く及びません。また、職員の半数はリモートログインが可能でしたが、過剰なトラフィックでVPNが過負荷状態になりました。その結果、接続の遅延や停止が頻発し、生産性が低下したのです（遠隔地にある病院が遠隔医療を行う場合、これは大きな問題になります）。そこで、私たちは機器を手配し、勤務シフトを調整し、アクセスに優先順位を設けました。それでも、VPNは増加したトラフィックに対応しきれませんでした。

これは訓練ではない

あれから6年経った今、コロナウイルスの犠牲者は増加を続けています。現在、企業は従業員とコミュニティの健康を守ることを第一に考えなければなりません。COVID-19の感染拡大リスクを食い止めることが最優先課題です。その上で、オフィスから離れた場所で働くという「ニューノーマル（新常態）」において、企業の生産性を維持するための対策を講じるべきです。

事業継続計画（BCP）は、企業戦略の重要な要素として事前に対策を考えておきたい要素の1つです。たとえ、問題の原因が組織の外にある場合であっても、何らかの対策が必要です。

事業上の課題：全員がリモートワーク可能な環境を整える

現在、BCP対策はテレワークが中心となっています。これは、「オフィスで働けない場合は在宅勤務を」という単純明快な対応のように思えます。多くのIT部門は、社員の20～30%がリモートアクセスした場合に備えて、企業のネットワーク容量の増設を計画しています。では、全社員がテレワークに移行したらどうなるでしょうか。しかも一夜にして移行する可能性もあります。世界中のITリーダーは、誰もが自宅からオンラインでアクセスできる環境を整備することは簡単ではないことを認識しています。

• VPNを使用して企業リソースにアクセスする従業員は増加を続けています。その負荷に、社内インフラストラクチャは対応できるでしょうか（できません）。
• 全社員がオンラインでアクセスするには、そのためのデバイスを支給する必要があります。当然ながら、仕事用のノートパソコンを持っていない社員や、仕事に使用できる機器が自宅にない者も存在します。古いサーバルームで埃をかぶっているノートパソコンのうち、使えるものは何台あるでしょうか。
• もちろん、会議やインスタントメッセージングを行うコラボレーションツールは既にインストールされていることでしょう。しかし、全社員が使用できるライセンスを保持しているのでしょうか。

リモートアクセスの負の側面：新たな脅威、スピードを求める社員の「危険行為」

リモート接続には、他にも深刻な問題があります。社内リソースやインターネットへの出口のアクセスにVPNを使用している場合、これを社員の大部分（たとえば全員）が使用するとなると、攻撃対象領域が大幅に拡大します。企業データの伝送距離が長くなるほど、攻撃リスクも増大します。

さらに、VPNの制限やMPLSバックホールが原因で遅延が生じます。Netflixのような高速ダウンロードに慣れている社員は、不満を感じることでしょう。「仕事を速く片付けたい」と思うあまり、セキュリティ制御をバイパスする可能性があります。このような「危険行為」は、社内システムを外部からの攻撃にさらします。
 

リモートワークを成功させる鍵：優先順位付け、トリアージ、ローカルインターネットブレイクアウト

今こそ、セキュリティに対する考え方を転換する時です。未曾有の状況を背景に、アプリケーション／データアクセスをセキュリティ保護する方法は、急速に変わりつつあります。セキュリティに妥協せず、リモートワークを実現させなければなりません。これは、セキュリティの質を低下させるのではなく、セキュリティ保護のために、異なるセキュリティソリューションを取り入れることを意味します。

接続とセキュリティの課題に直面するCISO（情報セキュリティ管理最高責任者）は、リモートワークをどのような方法で推進すべきでしょうか。「ニューノーマル」では、トリアージの意思決定が求められます。

• 作業の優先順位を決める：最も重要度の高いタスクは何か、それにはどのようなリソースが必要か、延期（または中止）が可能な業務はあるかを検討します。
• アクセスの優先順位を決める：作業の優先順位に応じてアクセスを割り当てる方法はあるか、常時接続が必要な業務はどれか、常時接続が不要な業務はどれかを検討します。業務の優先順位に基づいて、「階層型」の接続を提供する必要があります。
• デバイスの優先順位を決める：誰がノートパソコンを持っているか（経理部門や営業部門の誰か、など）、最新のポータブルデバイスを必要とするのは誰かを検討します。
• コラボレーションアプリを支給する：ライセンスの追加が必要になります。短期的には、経理部と連携し、「保留」の経費（旅費やイベントマーケティングなど）をリモートワーク経費に回します。
• シフトを調整する：接続の制限を回避するために、ミッションクリティカルな業務を夜中に回す必要も出てくるでしょう。
• ローカルインターネットブレイクアウトを導入する：クラウド（具体的には、SASE（Secure Access Service Edge）コンピューティング）が効果を発揮します。社員はリソースに直接接続（インラインセキュリティプロキシを経由したセキュアな接続）できるため、攻撃対象領域が狭まるだけでなく、VPNのボトルネックも軽減できます。

私たちは、この局面を乗り越えつつありますが、そこから学ばなければなりません（エボラの時には、「この経験を無駄にするな」と学習しました）。現在の最優先課題は、従業員とコミュニティの健康です。そのためにCISOができる最善の対応は、リモートワークの推進です。

皮肉めいて聞こえますが、冷静に考えれば、この難局を切り抜けた企業はさらに大きな競争力を得ることになります。そして、収束後も、事業継続計画を怠ってはなりません。縁起でもないことですが、来るべき次の危機に備えておくことが大切です。

Stan Loweは、Zscaler GlobalのCISOです。