有事に脆弱（ぜいじゃく）な先進企業

　リモートワークの問題は、「運用面」と「技術面」の2つに分けることができる。

　運用面の課題は、これまで対面やオフィスに集まることが前提だったルールや業務プロセスとどう整合させるかだ。機動力のある組織なら、ハンコを廃止する、デスクをフリーアドレスにする、勤怠や評価システムそのものを変えるといった対応が可能だ。

　しかし、多くの企業は、さまざまな理由（ほとんどは慣習によるものだが）で“中途半端なリモートワーク”にならざるを得ない。

　在宅なのに勤務時間中はスーツ着用、時間単位分単位の日報や定時連絡の強化、果ては、オンライン会議で役職順の画面表示──無駄なルール作りにこだわり、リモートワークの機能や効果を半減、または消滅させている。もちろん、いずれ元のオフィスワークに戻る前提で、あえてオフラインでの業務に合わせているのだろうが、しかしBCP（事業継続計画）の観点でいえば、オンライン、オフラインともにある程度対応できる業務プロセスや組織にしておくいい機会でもある。

　今回のパンデミック（世界的大流行）では、多くの先進国企業が平時、正常系での効率に最適化しすぎており、有事、緊急時にいかに脆弱かということが露呈した。普段使わないリソースを持たないことで、平時のコストを最小化できるかもしれない。だが、大規模な災害や今回のようなパンデミックで必要となるコストを考えると、平時の適正コストの基準も変わってくるだろう。

技術面・リモート環境の整備は経営課題

　技術面の課題は、デバイス、ネットワークインフラ、通信コストの問題。そして、これらに付随して欠かせないのがセキュリティ対策だ。

　個人PCやスマートフォンを利用するのか、端末を会社が用意するのかで、導入コスト、手間が変わってくる。

　個人デバイスを利用する場合、VPNクライアント、セキュリティソフト、アセット管理ソフトのインストールを整備する必要がある。そして、個人デバイスを利用する場合、これまで無視または合意できていた通信料の個人・会社負担の問題もクリアしなければならない。イントラネットへのアクセスも、多くの社員がリモート作業をするなら、既存のVPNでは間違いなくセッションや帯域が足りなくなるだろう。

　パンデミック以前から、クラウド化やモバイルワークに取り組んでいた企業は、今回の緊急事態宣言による自粛要請にも、比較的大きなストレスなく対応できているかもしれない。そうではなく、シャドーITをなし崩し的に運用していたり、そもそも構築が古くてクラウドやモバイルに対応していないシステムの企業は、急激な変化に耐えられない状態ではないだろうか。

　技術的な問題は、言ってしまえば結局、時間と予算の問題である。しかし運用面での問題と同様に、プロセスがリモート環境や新しい環境に対応しているか、対応する前提かどうか、という問題でもある。業務プロセスに合わせたカスタムメイドITシステム、サイロ型システムの乱立は、もう20年前から指摘されている問題だ。デジタルツインやデジタルトランスフォーメーション（DX）が叫ばれる現代、クラウドやWebを前提とした企業経営や業務プロセスは経営層の常識ともいえる。

　つまり、運用面や技術面の課題は、リモートワークを緊急対応と考えるか、BCPやDXを含めた経営戦略と考えるかによって、対応の各論が変わってくる。しかし、セキュリティ問題は、一時的な利用かどうかはあまり関係ない。

「Zoom爆弾」は過渡的な問題

　リモートワークのセキュリティで、いま話題となっているサービスが「Zoom」である。パンデミック以降、グローバルでユーザーを増やしているオンライン会議サービスだ。報道によれば、2020年3月時点で全世界2億人以上がZoomを使っている。2019年末の時点では1000万人程度だったというから、3カ月ちょっとで20倍に急成長したサービスだ。

　しかし、急激なユーザー数の増加は、これまで顕在化してなかった問題を掘り起こす。一部の研究者は2019年の段階で問題点や脆弱性を指摘していたが、一般での実害がないと、専門家の指摘が日の目をみることは少ない。Zoomのセキュリティが問題になったのは、「Zoom爆弾」と呼ばれる「あらし行為」が頻発したからだ。

　オープンな会議や会議IDをSNSなどで周知してしまった会議などに、第三者が接続してヘイトメッセージやポルノ画像などで会議を妨害する行為が問題となっている。イギリスでは、政府のオンライン議会のIDがソーシャルメディアの投稿に映り込んでしまったため、会議パスワードの類推リトライ、ウォーダイヤリングが多発する問題も発生した。

　また、Zoom爆弾はあくまでほんの一例で、より深刻な数々の問題が浮かび上がってきている。

【次ページ】本当に深刻なZoomの問題とは？