セキュリティ会社が気をつけているリモートワークのセキュリティ～他拠点と属人化排除が吉、SHIFT SECURITY

　4月3日、リモートワークに有効なコミュニケーションツールとして世界に２億人のユーザー数を持つともいわれる Zoom にセキュリティ上の問題があることを、独立行政法人情報処理推進機構（IPA）が指摘したことで、リモートワークのセキュリティの不安や懸念が日本で顕在化した。

　リモートワークのセキュリティに関しては総務省からすでに「テレワークセキュリティガイドライン第４版（2018年）」が刊行されている他、4月14日には内閣サイバーセキュリティセンター（ NISC ）が「テレワークを実施する際にセキュリティ上留意すべき点について」が出されるなど、リモートワークのセキュリティ対策のベストプラクティス探しが始まっている。

　本稿では、情報セキュリティの製品・サービスを開発するセキュリティ企業に取材し、セキュリティ会社のリモートワークの事例紹介を通じ、ベストプラクティス探しの一助となることを目的としている。果たしてセキュリティ企業は、どんなリモートワークを実践しているのか。どんなセキュリティの配慮をしているのか。

（本取材はすべてリモートで行いました）

--
　株式会社SHIFT SECURITYは、2016年設立。セキュリティ診断を主な事業とする。これまで熟練職人の経験や勘に依存するため困難と考えられていた、セキュリティ診断業務の本格的な標準化を行っている。設立 4 年で、130 名強の直接雇用の診断員を擁する、業界大手に比肩する規模に成長している。

●リモートワークのゴール設定

　最初に、リモートワーク実施のゴールを「オフィスでも在宅でも同じ生産性」と設定した。具体的には、同社の事業である脆弱性診断やペネトレーションテストを、診断員がバーチャルで集合したチームがそれぞれ在宅から実施し、品質と納期を従来と同一水準に保つことである。

　「従業員の生命を守ること」「従業員の雇用を全力で守ること」も、より大きいリモートワーク実施のルールである。

●リモートワークの期間と対象

　SHIFT SECURITY がリモートワークを開始したのは4月2日から。2月28日から具体的な準備を開始し、4月1日までにすべての準備を完成させ、国内及び海外計 7 箇所のオフィスをすべて閉鎖した。

　対象となったのは計 130 名の社員全員。

リモートワーク対象社員内訳
・セキュリティ診断実行スタッフ 57名
・診断設計スタッフ 44名
・診断標準化スタッフ 10名
・管理部スタッフ 13名
・役員 5名
計 129名

オフィス閉鎖した拠点一覧と人数（同社の拠点すべて）
・北海道札幌 5名
・東京（目黒、神谷町） 38名
・福岡 14名
・宮崎 56名
・ベトナム（ホーチミン、ハノイ） 11名

●リモートワークのシステム

　脆弱性診断の作業を細分化して業務の標準化を進める「標準化スタッフ」は、診断案件にまったく関わらないため、自身のPCで作業が完結する。難しかったのは、依頼された脆弱性診断やペネトレーションテストを実施する「実行スタッフ」だった。自宅から大量の通信が発生するとネットワークが落ちるなどの懸念もあった。シンクライアントを導入し、リモートデスクトップでセンターに接続し、そこから診断を実施する方法を採った。

●リモートワーク実施に気をつけたこと

　同社がオフィス閉鎖と全社員リモートワークのための準備を開始した2月28日は、北海道知事によって３週間の緊急事態宣言が出された日だ。SHIFT SECURITYは札幌に拠点を持っていたからだ。

　人命に関わるため経営判断とスピードが求められる。そう考え、リモートワークの準備は「とにかく先行する」ことを念頭に置いたという。

　ある日社長が、自ら秋葉原に出向いて、店にあるだけのノートパソコンを購入した。しかし、よくよく考えたら用途がわからなかったという。

　また「リモートワークなら仮想デスクトップ」と考え、Amazon WorkSpaces を設定したが、元々の環境と二重になってしまい作業効率の低下が発生した。元々 Amazon WorkSpaces を使っていたベトナムメンバー以外は利用をやめたという。

「無駄なモノや失敗を許容する」
「今日決めたことが翌日まったく違うことになっても構わない」

準備期間は、こんな、指針とは本来言いがたい指針を受け容れていく過程だったという。

●セキュリティ企業としてリモートワークを導入するうえで有利だったこと

　同社は診断サービスを行うセキュリティ企業として、日頃から高い機密性を維持した業務を実施してきており、今回のような事態にも対応できる下地となった。特に同社がとっていた他拠点体制は、それぞれの拠点がバックアップとして機能し、冗長性をもたらした。

　また、SHIFT SECURITY がセキュリティ診断業務の徹底した標準化を創業以来行ってきたことも有利に働いた。同社では、脆弱性診断のために同じ１０名の作業ユニットを編成する際も、北海道と東京とホーチミンのスタッフでユニット作りをするなど、日常的に離れたメンバーと仕事をすることに慣れていた。

　同社は約６０名のすべての診断員の間に、技倆の差がまったく存在しないことを目標に置くという極めてユニークな業務目標を持っている。６０名からたとえ乱数発生装置で選んで作ったユニットメンバーでも、毎回毎回必ず同じ品質と納期が守れることを目標として組織運営を行い成果を上げてきた。「あの人が感染したら会社が持たない」というような、抜きん出た能力を持つスターやカリスマ診断士は、最初からSHIFT SECURITYには存在しない。

　「サービス品質に影響を及ぼす人と人のつながりは、それがたとえ品質を上げるものでも、属人性を生む原因として積極的に排除」してきたという。たとえそのときは品質を向上させたとしても、その逆のリスクも組織として内包するからだ。こうした組織運営が、今回の非常事態に有利に働いた。

●リモートワークで見えてきた課題

　社員はすぐにリモートワークに適応したという。日頃から日本各地、そして海外の遠隔のスタッフとユニットを組んで仕事を行ってきた経験があるからだ。リモートに不安を持つ社員も少なかった。

　一方、ずっと自宅にこもって仕事をして、毎月給料が振り込まれる。そんな生活を長く続けることで社会的なつながりや、仕事以外の人とのつながりが希薄化していくことの懸念をSHIFT SECURITYは持っている。次に会社として考えていくべきことだという。

●SHIFT SECURITYのリモートワーク支援サービス

　SHIFT SECURITYは4月7日、在宅勤務用PC端末のセキュリティ診断サービスを開始すると発表した。同サービスは、新型コロナウイルス対策で、企業のPC端末を自宅に持ち帰ってリモートワークを実施する企業に向けたものだ。

在宅勤務用PC端末のセキュリティ診断
https://www.shiftsecurity.jp/news/20200407

　リモートワークでも社内と同じセキュリティレベルを担保できているかどうかを、SHIFT SECURITYが、その会社の手順とルールでキッティングしたPC端末を1台預かって診断を行い、最短5日後に結果と改善策を送付する。

エンドポイント診断は、サイバーセキュリティのベストプラクティスを開発する米非営利団体 CIS（ Center for Internet Security ）ベンチマークを診断基準に基づいて実施される。具体的には、アカウントやパスワードに関する設定項目、OS機能やサービスに関する設定項目、ネットワークに関する設定項目などを確認する。Windowsだけでなく、Mac、Linuxも対象とする。