Skip to content (Press Enter)

柔軟性と革新性を損なわずにセキュリティを保つには

2021年6月6日
コンサルタント会社の Oceanit では、厳格なセキュリティ要件に対応しながら、共同作業ツールを活用してチームのイノベーションを促進しています。
Dropbox を使用している Oceanit の科学者の写真

Oceanit IT 担当ディレクター デビッド・タケヤマ氏に聞く

IT 担当者にとって、ますます大きな懸念材料となっているセキュリティ問題。サイバー脅威の後手を踏まないためには、片手間の対応ではとても追いつきません。一方、組織のインフラストラクチャやデータを絶対確実に守ろうとすれば、今度は社員の業務にもしわ寄せが生じます。「少しでもセキュリティ リスクがあるなら」と、ツールやオンライン プラットフォームへのアクセスを禁止したり制限したりすることになるからです。しかしそうすると、社員は共同作業や制作に欠かせない重要なリソースを利用できなくなってしまいます。

企業組織でありがちなのは、「許可か禁止」の二択のアプローチでセキュリティ対策を実施し、すべての社員に一律の対応をしてしまうことです。しかしそれでは、競争を勝ち抜くための柔軟性が失われます。機密性の高いプロジェクトに参加する社員には厳格なセキュリティが必要かもしれませんが、そうでない社員に関しては緩めの制約でも十分にセキュリティを維持できるはずです。全社員に共通の制限を適用し、同じツール、同じ権限しか利用できないようにするという方針は、ほとんどの企業の実態にそぐわないでしょう。

Oceanit が使用しているテクノロジー
Oceanit のロゴ

ハワイならではの価値観で距離の問題を克服

弊社は、科学、技術、工学という多分野にわたるコンサルタント会社です。本社のある米国ハワイ州のほか、カリフォルニア州、テキサス州、ワシントン D.C. に 160 名を超える科学者とエンジニアを擁しており、ハワイに本拠を置く企業として、「オハナ」(家族を意味するハワイ語)、好奇心、共同体という独自の価値観を実践しています。ハワイでの暮らしはすばらしいものですが、米国本土から遠く離れた熱帯地域ということで、弊社のビジネス意識に少し疑念を持つ方がいるかもしれません。しかし、本土との隔たり、多様性、そしておおらかな気質という私たちの特徴は、むしろビジネス面での強みとなっているのが実際のところです。最近のリモート ワークの普及が証明しているように、同僚と遠く離れた場所にいても、世界のどこで仕事をしていても、会社の利益に貢献することは可能です。これは、弊社が数十年にわたって続けている仕事のやり方なのです。

私が入社してから 25 年の間に、弊社はよくある工学分野のコンサルタント会社から、エネルギー、生物医学、航空宇宙、石油化学という幅広い産業のクライアントを顧客に持つグローバル企業へと成長を遂げました。今では、業務提携、ライセンス供与、直接生産を通じて市場にソリューションを提供しており、「概念から製品開発まで」というアプローチのもと、顧客の科学研究の成果を具体的な製品に昇華しています。しかも、そのほとんどは驚くほど短期間での製品化に成功しています。

海辺でノート パソコンを使っている女性

いかにしてイノベーションとセキュリティを両立するか

弊社が絶対に避けたいと思っているのは、イノベーションを阻害することです。解決不可能に思えるほど困難な問題に対する破壊的なソリューションを見いだすためには、イノベーションが欠かせません。弊社が今取り組んでいる、気候変動や持続可能なエネルギー、医療費の高騰などは、まさにそうした課題です。

弊社が最近開発した製品の 1 つである Assure-19 は、新型コロナウイルスへの感染の有無をすばやく検査できる唾液検査キットで、現在は米食品医薬品局(FDA)の審査を受けています。この製品を開発するにあたっては、厳格なセキュリティ基準に従いつつ、社員が研究、開発、共同作業で最善を尽くせるようにすることが不可欠でした。

弊社にとって、セキュリティは大前提となるものですが、それによって仕事の進め方が決まるということはありません。弊社には、既存のツールとは別のツールを評価するためのワークフロー プロセスがあります。これは複雑なプロセスなのですが、簡単に説明すると、社員が柔軟性と創造性を保ちながらスマートに仕事ができる別のツールを見つけるための仕組みです。社員に対し、常にもっと高いレベルの仕事を要求するのであれば、社員がそれぞれのニーズに最適なツールを自由に選べる環境を用意する必要があります。

弊社では社員に対し、イノベーションを実現するために必要なツールとともに、ツールを安全に使うためのフレームワークを提供しています。

弊社では、標準的な業務ツールとして Office 365 を導入しています。しかし、エンド ユーザーや顧客、クライアントは別のツールを使っている場合もあるので、社内チームだけでなく外部関係者ともファイルを共有し、共同作業ができるように Dropbox も利用しています。弊社の社員は、共同作業のために以前から Dropbox を使っていますが、IT 担当者がその使用状況の管理や監視を行うことはしていませんでした。
Oceanit が導入しているテクノロジー スタック
Oceanit の Assure-19 プロジェクトに関する Dropbox ファイル
これは弊社にとって珍しいことではありません。弊社では常に、セキュリティとイノベーションの両立を図ることに取り組んでおり、社員や請負業者、顧客が使用するクラウド プラットフォームを必ずしも監視していません。この方針はこれまでのところうまく機能してきましたが、最近では会社の規模拡大に合わせ、米国防総省(DoD)との請負契約などではより慎重なアプローチを採用しています。

コンプライアンス対策は必ずしも作業の進捗を阻害しない

DoD から継続的に業務を請け負うためには、サイバー セキュリティ成熟度モデル認証(CMMC)に基づく自己評価を政府に提出しなければなりません。この基準に準拠する最も簡単な方法は、CMMC と NIST の仕様に準拠しているツールを除き、すべての共同作業ツールを排除することです。Dropbox は、そのままで NIST のいずれかの基準を満たすことができますが、CMMC には対応していません。

CMMC が発表されてすぐ、私は弊社の CEO に呼ばれ、イノベーションが阻害されることのないようにと伝えられました。規制やコンプライアンスがビジネスの成長に役立つことはないというのが CEO の主張です。それよりも、セキュリティを強化しながら、社員が引き続きイノベーションに必要なツールにアクセスできるようにすることが重要だということでした。

社員全員が、機密性の高い政府情報を扱う政府関連の案件に関わるわけではありません。基準を満たさないツールを全面的に排除するのではなく、追加の IT セキュリティ要件を遵守する必要のない社員が、自分の仕事をするために面倒な手続きを踏まずに済むようにしてほしい。それが CEO の求めでした。

ニーズの異なるチームには異なる作業プロセスを

弊社には、熱心な Dropbox ユーザーがいます。特に、航空写真や高精細の動画、CAD 図面、3D レンダリングなどの大容量ファイルを共有する社員は、Dropbox を強く支持しています。私たちは、そうした社員がいることは認識していましたが、その愛情がどれほどのものか、当時は理解できていませんでした。

Dropbox にまとめられた Oceanit のプロジェクト
オフィスで Oceanit のロゴ プレートを手にする男性

ある日、Dropbox から Microsoft Teams に移行するようかなり強く呼びかけたときのことです。社員は抵抗し、自分で Teams を使ってみてほしいと求めてきました。試してみると、正しいのは彼らでした。Teams と SharePoint では、大容量ファイルをアップロードして共有するのに大変な時間がかかることがわかったのです。新たなセキュリティ要件が課せられることになり、米国政府向けの Office 365 である GCC High に移行したときには、共有問題がさらに厄介なことになりました。組織外のユーザーは、共有フォルダにドキュメントをアップロードできなくなってしまったのです。加えて、互換性の問題にも直面しました。

社員全員が厳格なデータ基準に従う必要があるわけではありません。上記のような問題のあるツールを全員に強制するのではなく、すでにある優れたツールを使い続ければよかったのです。Dropbox を使い続けるという選択は、関係者全員にとって賢明な判断となりました。

IT 担当者は、顧客が必要としているセキュリティを確保すると同時に、社員が求めるツールを提供できる、柔軟なアプローチを検討する必要があります。

私たちは、セキュリティ対策を 2 つに階層化することにしました。まず実施したのは、Dropbox の個人用アカウントを排除し、Dropbox Enterprise の評価版にユーザー 10 人を登録することです。このチーム向けプランでは、ユーザーが共有しているファイルの種類を追跡し、使用状況の統計情報を集計することができます。こうすることで、Dropbox の使用を希望し、なおかつ CMMC コンプライアンスの対象でない社員全員に Dropbox を提供できるようになりました。今後、階層化の進捗に合わせて、Dropbox Enterprise を使用できる社員を増やしていく予定です。

続いて、CMMC に準拠したプロセスとセキュリティ レベルの低いシステムを監視するためのツールと仕組みを導入しました。これは、2 つのプロセスの間の抜け道をふさぎ、保護すべきデータが許可のない人物や組織と共有されるのを防ぐことを目的としています。これで、特に機密性の高いデータへのアクセスを一部のユーザーだけに制限しつつ、それ以外のユーザーは全員、Dropbox を使ってすばやく簡単にファイルを共有できるようになりました。両者のいいとこ取りをした仕組みです。

Dropbox の[インサイト]ページのグラフ

スピードとイノベーションを犠牲にセキュリティを強化したほうが手っ取り早かったでしょう。企業によってはそのほうが向いているかもしれませんが、この方法では成長が止まってしまう恐れがあります。

弊社に最適なソリューションの構築はそれより少し手間がかかりますが、得られる結果はその労力に値します。上記のような対策を講じたことで、ファイルの共有や共同作業、画期的な製品の開発には、引き続き Dropbox を活用できるようになっています。

こちらのストーリーもご覧ください

Dropbox で共同作業をスムーズに

Dropbox で始めましょう