ビジネスにおけるIT活用のムーブメントは加速を続け、業種業界を問わず業務全域に欠かせない存在となっている。昨今では、より高度で柔軟な業務基盤を求めてオンプレミスから、SaaSを初めとしたクラウドアプリケーションに移行する企業は後を絶たない。

 

世界的なパンデミックとなった新型コロナウイルスに伴い、国内緊急事態宣言の発出以降、企業は出社制限の必要に迫られるかたちでテレワーク環境の整備が急務となった。当初はセキュリティと実現時間の観点からVPNを利用したリモートアクセス環境を整備する施策も見受けられたが、長引くコロナ禍においてはコスト面や接続性、運用の観点からもVPN接続は限界に達しつつある。そこでVPN課題を打破すべく、以前より社内で限定的な範囲にとどまっていたクラウドの活用範囲をより広げることで事業継続に活路を見出す企業が増加傾向にある。特にSaaSとして広く普及するMicrosoft 365(旧Office 365)は定番ツールに加え、チャット、情報共有ツール、クラウドストレージなども完備するので機能も実績からの信頼も申し分なく、今日のテレワーク業務を支える柱と見なす企業も多い。またテレワークにおける最大の懸念材料はオフィス環境外業務ゆえの情報セキュリティだ。企業契約に基づくことなく従業員が無意識に利用してしまうShadow ITの脅威に対する認識もかなり浸透し、監視ツールやルールの厳密化による対策強化への取り組みもなされてきている。しかし企業が契約しているMicrosoft 365に代表される各種クラウドサービス(Sanctioned IT)において安全が鉄壁に担保されていると盲信し、警戒をスルーする脅威防衛方針にこそ、実は増大な企業リスクが潜伏している。

 

本書は、Microsoft 365に代表されるSanctioned ITに関わる安全意識の誤解を正すとともに、具体的な対策方法について解説する。テレワークの定番化と充実においてSaaSアプリケーションの活用は必然性を持ち、早期にサブスクリプションされたMicrosoft 365は特性を遺憾なく発揮している。本書で示される企業調査では、SaaS上でやり取りされる機密データの割合から圧倒的にMicrosoft 365の利用が多く、企業からの信頼の厚さが証明される。テレワークが常態化した今日のセキュリティに企業内を想定した従来の境界防衛思想は通用しなくなってきているのは明白だが、Sanctioned ITにおいても新たな可視化と制御を要すると指摘する。その根拠をSaaSを含めたクラウドアプリケーションの多くが採用する「責任共有モデル」であるとする。クラウド上に展開されたデータやアクセスするための認証などは、すべてユーザー側の責任範疇であることを解説する。また利用社数が圧倒的に多いMicrosoft 365のアカウント乗っ取りを目的とする急増する攻撃手法の実例を掲げるとともに、対策手段として通称CASB(キャスビー、Cloud Access Security Broker)と呼ばれるソリューションによる仕組みと具体的な有効性について提言する。何事においても、安全とはリスク認識を起点として初めて担保される事柄ではないだろうか? 激変する情勢に翻弄されるがままに多角的な視点を失い、安全に対して過信盲信があってはならない。企業の信頼を損ねるリスクであれば、ことさら看過すべきではないだろう。企業活動継続において非常に重要な内容となっている。ニューノーマル時代を生きるすべての企業人にご一読を強くおすすめする。