NISCもゼロからテレワーク導入――コロナ禍が問う、ウィズリスク時代の緊急対応：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

同じ事象に対して、何がどの程度リスクになるのかは組織のプロファイルによって異なる。各組織が、それぞれのプロファイルと守るべきものに応じて自ら考え、主体性を持って対応する必要がある。

[酒井真弓，ITmedia]

NISC 内閣参事官 結城則尚氏

　緊急事態宣言下の4月14日、内閣サイバーセキュリティセンター（NISC）は、「テレワークを実施する際にセキュリティ上留意すべき点について」を発出した。新型コロナウイルスの影響で急きょテレワークを導入・検討している政府機関、重要インフラ事業者に対し、セキュリティ上の注意喚起を行うとともに、Twitterを活用して広く一般向けにも周知した。

　実はNISC自身、高いセキュリティを維持するため、テレワークとは無縁の組織だった。コロナ禍で、ゼロからテレワーク環境を構築したのだ。VPN環境も予算もない。そこで考えたのは、今あるIT資産の有効活用だ。

　NISCは、ないない尽くしの状況から、いかにしてテレワーク環境を整備していったのか。NISC 内閣参事官の結城則尚氏が当時の状況を語った。

平時のときこそ有事に備えよ

　結城氏は、2013年からNISCに所属し、2015年に発生した日本年金機構の個人情報流出事案ではインシデントレスポンスをリードした緊急対応のスペシャリストだ。新型コロナの感染拡大は、そんな結城氏にとってもまさに「想定外」の出来事だった。

　2月25日、政府の新型コロナウイルス感染症対策本部は、広く国民にテレワークの実施を呼びかけた。結城氏は、「感染拡大が抑えられている今こそ、有事を想定して備えるべきだ」と主張する総括参事官とともに、NISC始まって以来のテレワーク導入に着手した。

　「もともと、外からシステムにはアクセスできませんので、VPNはありません。感染拡大防止を最優先という急な決定だったので、予算をかける時間もありませんでした」（結城氏）

　また、この頃は、出勤できなくなるリスクを考慮することに言及すれば、一部から半分からかいながらも、「電車が止まる？」「通勤できなくなる？」といった懐疑的な声もが上がったのだ。

　「サイバーセキュリティの分野でも、こんなの大したことないという先入観から不十分な対応で済ませてしまうケースが見受けられます。過去、運良く大事に至らなかった経験が、新たな局面での柔軟な対応を阻害してしまうのです。そんな中で異論を唱えるのは非常に勇気がいることでした。今回は、リーダーである総括参事官と2人で一気に推し進められたので機動力が高まりました」（結城氏）

今ある資産で、ゼロからのテレワーク環境構築

　NISCがテレワークを導入するにあたり、大きな課題が2つあった。

　1つは、既存のセキュリティポリシーがテレワークを想定していないため、「テレワークを可能とすべく、すぐに改定すべきだと、総括参事官がリーダーシップをとって一気にセキュリティポリシーを改定しました。トップダウンの素晴らしさが発揮された場面でした」（結城氏）

　もう1つは、安全なテレワーク環境の整備だ。まず、予算がないので、「今ある資産でなんとかする」という方針が固まった。その上で、以下の3点について組織全体を巻き込んで議論していった。

• 1、VPNを持っていない中でのメールの安全確保
• 2、安全なテレカンプラットフォームの選定
• 3、残余リスクに対する使用上の注意の明確化

　「メールの安全確保については、VPNを導入せず、エンドツーエンドの暗号化を使用することにしました。なぜこんな古臭いやり方をするのかという意見もあったのですが、ゼロトラスト時代にこそ、エンドツーエンドの暗号化が必要とされています」（結城氏）

　テレカンプラットフォームは、ありとあらゆる候補の中からNISCにフィットしそうなものを3つ選び、絞り込んでいったという。この過程で、それぞれのプラットフォームの特徴を整理する過程を関係者全員に対するリスクコミュニケーションの機会とすることができた。

　翌週には、管理職レベルでテレカンの実証実験を行った。ここでは、選定したテレカンプラットフォームで何がどこまでできるのか（できてしまうのか）を把握していった。通常、こういった実験は担当レベルで実施するものだというが、今回は、管理職を巻き込んだことが効果的な流れにつながったと結城氏は振り返る。

　「今年の流行語になるんじゃないかと思いますが、最初の頃は、『聞こえますか？　見えますか？』というやりとりが何度もありました。テレカンを1件セットするのに30分以上かかったことも。しかし、何度もこういった失敗を経験するうちに、皆さん不自由なくテレカンができるようになっていきました」（結城氏）

　結果的に、3月中には本格的なテレワークの操業にこぎ着けた。5週間でゼロからテレワーク環境を構築することができたのだ。今ある資産でなんとかするという方針を貫き、せいぜい、テレカン用にマイクを購入するくらいだった。

届かない注意喚起

　こうした実戦経験をベースに、4月14日、NISCは「テレワークを実施する際にセキュリティ上留意すべき点について」をWebページとTwitterを使って発出した。そこには、コロナ禍によるテレワーク導入に悩む人々に、自分たちの経験を役立てもらいたいという思いがあったという。

　実は、一週間前の4月7日時点で、重要インフラ事業者向けにテレワークの注意喚起を公開していたのだが、その後、多数の重要インフラ事業者から注意喚起に記載している問い合わせが続いた。どうやら、注意喚起の存在に気付いていなかったようだ。

　「私たちは、いつものコミュニケーションチャンネルで伝えれば情報は届くと考えていたのですが、残念ながら、通常のルートだけでは、必要な人に必要な情報が届かないということを思い知らされました。有事の際には、やはり情報ルートの多層化や多様化が非常に重要だということです」（結城氏）