NTTが取り組む「リモートスタンダード」
NTTでは、新型コロナウイルスのパンデミックを受けて2回にわたり、リモートワークに関する制度を見直している。コロナ禍以前でも社員の在宅勤務は可能な制度になっていたが、月ごとに上限があり、事前に上長の承認が必要などと制限があったという。それを新型コロナ感染拡大が始まってすぐリモートワークの回数・場所の制限をなくすなどの見直しを行ったとのこと。
そして2022年6月には、新たな制度として「リモートスタンダード」制度を発表。会社で働くのではなく、勤務先は「社員の自宅」となる形を取った。新制度の対象社員の居住地は、日本国内であればどこでも自由だ。「会社に出社すること」も出張と捉え、旅費や宿泊費が支給される。これにより、ワークスタイルは大幅に変わり、セキュリティの考え方も境界型からゼロトラストへと変わる。
リモートワークに対しては、木村氏の周囲でも「家族のケアができる」「満員電車が嫌」といった肯定的な声のほか、逆に「家だと集中できない」などの意見があるという。ただし、「オフィスとリモートワークのどちらが良いか」は重要ではなく、社員それぞれにとって働きやすい環境を自由に選択して勤務できること、そしていずれの場合も便利に負担を感じずに、もちろんセキュリティを担保した状態で業務できることが重要であると木村氏は述べる。
経営課題としてのセキュリティ
続いて木村氏は、リモートワークを支えるセキュリティの取り組みについて、特に考慮すべきことを紹介。やはりリモートワークが進むにつれてやることが増え、残念ながらセキュリティ担当部門が忙しくなっているという。現場の頑張りも重要であるが、経営層が認識を新たにすることも必要であると指摘。
特に、経営者はサイバーセキュリティを経営課題の一つであると改めて認識するべきだと木村氏は強調する。
「サイバーセキュリティについては、年度初めに事業計画を立てて1年間でPDCAを回すというようなやり方では対応しきれません。経営層の皆様に対しても、年に1回ではなく、できれば毎月、少なくとも四半期に1回くらいはサイバーセキュリティを取り巻く環境での変化をセキュリティの現場からヒアリングして、ご理解いただくことが大事だと思います」(木村氏)
先日も、ロシアに近しいとされるサイバー攻撃者集団「キルネット」が日本の省庁や民間企業に対してDDoS攻撃を仕掛け、テレビや新聞で大きく取り上げられた。こうした話があると急に「自社はDDoSへの対応は大丈夫か」と言い出す経営層が多い。
もちろん、新しい動向を踏まえて懸念をするのは大事なことであるが、何かが起きるたびに全力で対応することは現実的ではないし、現場が疲弊してしまう。最新の動向を把握しつつ、自社へのリスクを考えていくことが本来必要だ。
そこでNTTでは、セキュリティを経営リスクの一つとして捉え、リスクベースでマネジメントするためにヒートマップやNISTのCSF(サイバーセキュリティフレームワーク)などの活用に着手しているという。
