Linnoedge

ハイブリッドワークのセキュリティ枠組みの作り方|5つの層と正しい順番

ハイブリッドワークのセキュリティ枠組みの作り方|5つの層と正しい順番

僕は、チームが二つの国に分かれている会社をやっています。ホーチミンのオフィスにいる人もいれば、ベトナムの自宅から働く人もいるし、日本にいるメンバーもいる。その日によっては、「ここのWi-Fi、よく考えたらパスワード入れたくないな」みたいなカフェからログインしている人も数人いるんですよね。これ、もう特別な状況じゃなくて、いまのチームのわりと普通の姿だと思うんです。

うちがこういう分散型になったとき、僕は、たぶん多くの人がやるのと同じことをしました。ツールを買ったんです。VPNを一つ、パスワードマネージャーを一つ、二要素認証も「やったほうがいいですよ」と言われたから入れた。どれも、その週に目の前にあった問題はちゃんと解決してくれました。

でも、あるとき自分が作ったものを見て、ちょっと気まずい事実に気づいたんです。僕の手元にあったのは「セキュリティツールの山」でした。「セキュリティの枠組み」じゃなかった。この二つは別物で、そして多くの会社が痛い目にあうのは、まさにこのあいだの隙間なんですよね。

ハイブリッドワークのセキュリティ「枠組み」って、結局なんなのか

僕が勘違いしていたのは、ここでした。枠組みっていうのは「正しい製品を揃えること」だと思っていたんです。ID系のツール、デバイス系のツール、ネットワーク系のツール——よし、揃った、これで守れてる、と。

でも、枠組みってツールじゃないんですよね。順番なんです。何を最初に守るか、何が何に依存しているか、どこか一枚の層が弱いせいで、その上の層が全部無意味になる場所はどこか。それを決めることが枠組みで、ツールは、その決定を実行するための手段でしかない。

具体的に言いますね。アイデンティティ(誰がログインしているか)を固める前にデバイスのセキュリティから入れてしまうと、それは「鍵を誰でもコピーできるドアに、すごく頑丈な鍵をつけた」状態なんです。順番が間違っているから、お金が無駄になる。これが「とりあえずツールを買い足す」のいちばん怖いところで——一つひとつはちゃんと動いているのに、システム全体としては漏れている。

だから作り直したとき、僕は「何を買うべきか」を考えるのをやめて、「この層は、どういう順番で積むべきか」を考えるようにしました。たどり着いた順番がこれです。5つの層。それぞれが、一つ下の層がもう固まっていることを前提にしています。

枠組みとは、ツールではなく「順番」です。ツールの山 VPN パスワード管理 2FAが1台のスマホに ウイルス対策 ファイアウォール クラウドSSO どれも動いている。なのに、システムは漏れる。 枠組み 1 アイデンティティ — 誰がログインしているか 2 デバイスの信頼 — 何から繋ぐか 3 アクセスとデータ — 必要な分だけ 4 可視化 — 早く気づく 5 ガバナンスと人 何が何に依存するかを決める。

ハイブリッドワークセキュリティ、5つの層

5つの層 — 下から積み上げる 各層は、一つ下の層がもう固まっていることを前提にする。 各層は一つ下の層の上に立つ 5 ガバナンスと人 ポリシー・所有・ツールでは覆えない人の層 4 可視化と対応 見えないものは守れない——早く気づく 3 アクセスとデータ 最小権限——必要な分だけ渡す 2 デバイスの信頼 誰かだけでなく、何から繋ぐかも確かめる 1 アイデンティティ — 土台 ログインしているのが本当にその人か証明する まずLayer 1から。床が弱いと、その上の層はすべて意味を失う。

Layer 1 — アイデンティティ:ログインしているのが、本当にその人か

全員が一つのオフィスで働いていたころは、建物がセキュリティの仕事をかなりタダでやってくれていたんですよね。誰が席にいるか、見ればわかった。でも、その手がかりはもうない。いまや自分たちのデータと外の世界とのあいだに立っているのは、「ログインしてきた人が、こちらの思っているその人だと証明できるか」だけなんです。

この層がどれだけ脆いか、僕はけっこう高い授業料を払って学びました。初期のころ、うちの公式Facebookアカウントと、iOSアプリを出しているApple Developerアカウント——この二つの二要素認証を、初期メンバーの一人の個人スマホに紐づけていたんです。そして彼が辞めた。しかも、あまりいい辞め方じゃなかった。

その二週間後、僕たちはバグ修正のアップデートを出そうとしました。ログイン画面が、彼のiPhoneに送られた6桁のコードを求めてくる。彼に連絡が取れるまで、正直に言うと、認めたくないくらい時間がかかりました。そのあいだ、アップデートはただそこで凍りついたまま。僕たちが安全のために入れたはずの二要素認証が、まさにその僕たちを締め出していたんです。

これが、アイデンティティが最初に来る理由です。流行りだからじゃなくて、その上のすべての層が、この層の弱さをそのまま受け継いでしまうから。多要素認証、シングルサインオン、そして「誰がアカウントを持っていて、なぜ持っているのか」への明確な答え——ここが床なんですよね。とくに共有アカウントについては、いまはMFAを1Passwordのチームプランで回していて、複数人がコードを出せるようにしています。一人のスマホが、会社全体の単一障害点になっていいわけがない。

これをハイブリッド環境で成り立たせる考え方が、ゼロトラストです。ネットワークの「内側」にいるからといって、そのログインを信頼しない——そもそも、もう内側なんて存在しないから、という前提ですね。この考え方がピンとこない方は、別の記事でなぜゼロトラストがハイブリッドワークのセキュリティの土台になるのかを書いたので、そっちを先に読んでもらえたらと思います。この枠組みの残りは、ゼロトラストを前提にしているので。

Layer 2 — デバイスの信頼:何から繋いでいるのかを確かめる

人を信頼できたら、次の問いはマシンです。本人確認のとれた社員でも、一年アップデートしていない私物のノートPCからログインしてくるなら、それはやっぱりリスクなんですよね。運転手は確認したのに、車を見ていない、みたいな状態です。

デバイスの信頼っていうのは、中に入れる前にその端末の状態をチェックすることです。ディスクは暗号化されているか、OSは最新か、エンドポイント保護は動いているか。ハイブリッドなチームだと、隣に行って相手のノートPCをのぞき込むなんてできないので、これは自動でやるしかない。ここの見返りは、思っているより地味です。正直に言うと——原因不明のトラブルが減って、「パソコンの調子が変なんですけど」というチケットの裏に、実はもっと深刻な問題が隠れていた、みたいなことが減る。それくらいなんですよね。でも、その地味さが効くんです。

Layer 3 — アクセスとデータ:必要なものだけを渡す

正直、僕がいちばん長く投資をサボっていたのがこの層で、たぶん多くの会社も同じだと思うんです。玄関の鍵をかけるのは得意なのに、いったん中に入った人がどの部屋にでも歩いていけることには、わりと無頓着なんですよね。

原則は最小権限です。一人ひとりが、自分の仕事に必要なものだけにアクセスできて、それ以外には触れない。考え方の切り替えとしては、「境界を守る」のをやめて「データそのものを守る」に変える、ということ。チームがどこにでもいる時代だと、境界なんてもうフィクションなんです。価値があるのはデータのほうなので、アクセスはデータを中心に区切っていく。

Layer 4 — 可視化と対応:見えないものは、守れない

最初の三つの層は「予防」の話です。この層は、「予防はいつか必ず破られる」という前提の話。そして、小さな問題が大きな問題になるかどうかを分けるのは、結局この一点なんですよね——どれだけ早く気づけたか。

誰が何にアクセスしたかのログ、何かおかしいときのアラート、そして「最初の1時間で何をするか」を必要になる前に紙に書いておくこと。はっきり言いますね。この層は、みんなが後回しにします。まだ何も悪いことが起きていないから。でも、だからこそ、いざ事故が起きたときにそれがどれだけ深刻になるかを決めるのが、この層なんです。

Layer 5 — ガバナンスと人:ツールではカバーできない層

この上のすべての層は、お金で買えます。でも、この層だけは買えない。ガバナンスっていうのは、「何が許されていて、誰がそれを持っていて、新しく入った人が入社6か月目じゃなく初日にそれをどう学ぶか」を決めるポリシーのこと。そして、実際の事故のほとんどは「人」から始まるんですよね。使い回したパスワード、よくできたフィッシングメール、間違ったリンクで共有してしまったファイル。

ハイブリッドなチームだと、これはもっと難しい。「それ、クリックしちゃダメだよ」が広まっていた廊下の立ち話に、もう頼れないからです。気づける状態を、設計で作り込むしかない。うちの場合は、年に一回の誰も覚えていない研修じゃなくて、短くて具体的なガイドをオンボーディングに組み込む、というやり方にしました。

全部いっぺんにやろうとせずに、立ち上げる方法

5つの層を読んで肩に力が入った方、それ、正常な反応だと思います。ここでやりがちな間違いは、5つを一度に作ろうとして、止まって、結局なにも完成しない、というやつ。でも、そんなに気負わなくて大丈夫なんです。必要なのは順番で、それがこの話のぜんぶなので。

僕ならこう並べます。最初の1か月で、Layer 1を完全に固める——全部にMFAを、そして「誰がアクセス権を持っているか」の正確なリストを。次の2か月で、Layer 2とLayer 3を最低ラインまで持っていく。そこから先のLayer 4とLayer 5は、一回きりのプロジェクトじゃなくて、続けていく習慣として作る。この二つは、本当の意味で「完了」することはないので。それぞれのステップが、一つ前が終わっていることを前提にする。これが、枠組みがちゃんと仕事をしている状態なんですよね。

順番に立ち上げる——一度に全部やらない Day 0 Day 30 Day 90 継続 最初の1か月 Layer 1 を固める 全部にMFAを 誰がアクセス権を持つか 正確なリストを 完全に。中途半端にしない。 次の2か月 Layer 2 と 3 デバイス信頼と 最小権限アクセスを 最低ラインまで まず及第点、あとは改善。 Day 90 から Layer 4 と 5 可視化・ガバナンス・人 を、続けていく 習慣として これは「完了」しない。各ステップは、一つ前が終わっていることを前提にする——それが枠組みの仕事です。

静かに、あなたを無防備にする間違い

僕が見てきた——そして自分でもやった——パターンをいくつか。

いちばん多いのが、VPNの罠です。VPNは、リモートの端末をネットワークの「内側」に入れてくれる。でもハイブリッドな世界だと、それは要するに「信頼ゾーンをカフェのテーブルまで伸ばした」ということなんですよね。VPNはツールであって、枠組みじゃない。

VPNの罠 あなたの「信頼」ゾーン 社内ネットワーク VPNトンネル …ここまで伸びた カフェのWi-Fi VPNはリスクを縮めない。信頼ゾーンをカフェのテーブルまで伸ばすだけ。 ツールであって、枠組みじゃない。

それから、最初に僕がやった「リアクティブにツールを積む」やつ。間違った順番で買って、「揃っている=守れている」と思い込む。そして、いちばん高くつくのが、Layer 5を運任せにすること。テクノロジーに大金を使っても、なんでもない午後に、一人の、一回のクリックでぜんぶ崩れることがある。

で、ここからどうするか

ハイブリッドワークのセキュリティの枠組みは、買い物リストじゃなくて、順番なんです。多くの会社が無防備なのは、ツールが足りないからじゃない。間違った順番で買って、何が何に依存しているかを一度も決めなかったから、無防備になっている。

僕は分散チームを商売としてやっているので、正直、こういうことを必要以上に考えてしまうんですよね。もし、自分の会社のどこに穴があるんだろう、と考えている方がいたら、その整理を一緒にやるくらいは、喜んでやります。

よくある質問

ハイブリッドワークのセキュリティ枠組みとは何ですか?

ツールの集合ではなく、分散したチームを「どの順番で」守るかを決めることです。何を最初に守るか(アイデンティティ)、何が何に依存するか、どこか一層の弱さが上の層を無意味にする場所はどこか——それを決めるのが枠組みで、ツールはその決定を実行する手段です。

ハイブリッドワークセキュリティの5つの層とは何ですか?

①アイデンティティ(誰がログインしているか)②デバイスの信頼(何から繋ぐか)③アクセスとデータ(最小権限)④可視化と対応(破られたときに早く気づく)⑤ガバナンスと人(ツールでは覆えない層)。各層は、一つ下の層がもう固まっていることを前提にします。

VPNだけでハイブリッドワークは守れますか?

守れません。VPNは信頼ゾーンを接続元——実際にはカフェのテーブル——まで広げるだけです。便利なツールですが枠組みではなく、単体ではアイデンティティ・デバイス・人の層が手つかずのまま残ります。自社のどこに穴があるかを整理したい方は、層を順番に見直すところから始めるのがおすすめです。

30分、壁打ちしませんか

御社のチームにとっての「セキュリティの枠組み」がどんな形になりそうか、30分ほど一緒に整理します。比較表を出すような場ではなくて、御社の状況に合わせて一緒に考える時間です。

30分の壁打ちを予約する →

東京とベトナムの二拠点で、ITオフショア開発・海外進出支援事業を展開。「気合いより仕組み」を信条に、不透明になりがちな越境ビジネスを構造化する経営者。「個人のスキル」ではなく「再現性のある品質」を組織と顧客へ提供することにコミットしています。