コロナ禍によりSaaSの導入が国内企業に一気に進む

新型コロナウイルスの感染再拡大を受け、企業はテレワークに対応し続けている。政府も、テレワークで働く社員の割合を高めるよう要請している。「それにより、さまざまな変化が起きています。その一つが、SaaS（クラウド経由で提供するソフトウエア）の浸透です。オンライン会議ツールのZoomや業務ソフトのMicrosoft 365、Google Workspace、さらには営業部門でのSalesforceなど、多様なSaaSアプリが使われるようになっています」と話すのは、SaaSを活用したDXやセキュリティに詳しい、株式会社onetap 代表取締役の武田義基氏だ。

「当社が行った調査によれば、2019年11月時点で、日本企業は1社当たり約7.6個のSaaSを利用しています。これは2015年の米国企業（約8個）と同水準です。ちなみに、2019年には、米国の企業は1社当たり約80個のSaaSを利用しています。今後5年間で日本企業のSaaS利用数も相応に拡大すると見込んでいます」

SaaSが劇的に浸透している理由はどこにあるのか。武田氏は「大きな特長は初期投資がほとんど不要なこと、そして、ユーザーはベンダーやプラットフォームの違いにこだわらず、自由に最適（ベスト・オブ・ブリード）な製品を選ぶことができることです」と分析する。そのため、現場サイドでSaaSの利用が加速度的に進んでいるのだ。Microsoft365のユーザーの8割が、他のプラットフォームのアプリを併用しているというデータもある。

現場の多くの従業員がベスト・オブ・ブリードを享受できるのは大きなメリットだが、仕組み化よりも導入が先行していることで課題も生じているという。

「まず、増え続けるパスワードの管理が大変です。パスワードの使い回しをしている企業もあります。異動や入退社に伴うアクセス権限の管理も容易ではありません。さらには、『シャドーIT』と呼ばれるような、情報システム部門が把握できていないところでSaaSが無断使用されているケースも散見されます」

煩雑なSaaSの管理下では、しばしば無断使用されているケースも散見されるようだ。それが、リモートワークでより加速していると武田氏は警鐘を鳴らす。

SaaS利用の拡大の問題として頻繁に挙げられる「パスワードの管理の大変さ」は、氷山の一角だ。その下には深刻な問題が数多く潜んでいる。

境界型セキュリティからゼロトラストなセキュリティへ

前述してきた通り日本企業でもSaaSなどの利用が進む一方で、依然として旧来型のオンプレミスのシステムが主流という会社も少なくない。武田氏は、この点について一定の理解を示しつつも、古いシステムを使い続けることで業務効率が低下するだけでなく、セキュリティ上の問題があると指摘する。

「これらのオンプレミスなシステムは、VPN（仮想私設網）を介している場合も含め、社内ネットワークにアクセスできている人を盲目的に信じる境界型（ペリメタモデル）のセキュリティであることが問題です」と武田氏。特定のリソースに画一的に特権的信頼を付与するため、セキュリティリスクも高いのだという。

実際に、2022年3月には、サプライヤーがランサムウエア（身代金要求型ウイルス）による攻撃を受け、大手自動車メーカーが国内の全工場稼働停止に追い込まれた事案は記憶に新しい。影響は系列の大手部品メーカー、複数の海外子会社に及んだ。

「大手自動車メーカー本体は、もちろん堅固なセキュリティシステムを備えていますが、系列企業やサプライチェーンはセキュリティが弱い部分もあります。ハッカー集団は、その弱い部分を突いてきます」と武田氏は解説する。セキュリティを確保するためのVPNであるはずだが、実際にVPNゲートウエイが攻撃を受けたり、IDやパスワードなどのログイン情報が漏えいした結果、不正アクセスを受けたりするなど、インターネット接続への出入り口が突破されると、ファイヤーウオールは一気に脆弱（ぜいじゃく）になる。

「そこでこのような境界型セキュリティに代わり、注目されているのが『ゼロトラスト』と呼ばれるセキュリティです。名が示す通り、全てのアクセスを信頼せず検証することで、どのような境界でもセキュリティを担保する考え方です」

シングルサインオン、IDaaSなどがゼロトラストの基盤に

「境界型セキュリティが特定リソースへの画一的な特権的信頼を付与するのに対して、『ゼロトラスト』セキュリティはこれらを排除しているのが大きな特徴です。画一性を排除することで、結果的にITインフラが柔軟になり、セキュリティの強化および労働環境の柔軟性を向上させることができるのです」と武田氏は話す。

ゼロトラストはデフォルトでは信頼せずに、常に検証を行う。言い換えれば、IDを一元管理することで、誰が、どこから、どのようなデバイスで、どのようなファイルやアプリにアクセスしようとしているかを常に可視化する。

「一度のユーザー認証によって複数のシステムやアプリを利用できる『シングルサインオン（SSO）』や、IDを管理するIDaaS（IDentity as a Service）などのサービスなどを基盤に展開が広がっていくと考えられます。DXを実現するためにクラウドサービスが普及していく中、利用統制だけではなかなかセキュリティを向上させることはできません。あるべき状態をいかに維持していくかが重要になるという観点から、当社もこれらのテクノロジーを組み合わせたサービスやソリューションを提供しています」

企業における「ゼロトラスト」への関心も高まっているとのことだが、実際に導入している企業はまだ少ないようだ。「当社の調査では、実際にゼロトラストで社内システムをほぼ全て運用している企業は5％程度と見ています。大きな要因として、既存のオンプレミスのシステムとクラウドにまたがる認証の統合や、IDや権限、部署などに合わせたアクセス制御などがなかなか進まないという点が挙げられます」。早期からクラウド化が進む欧米の企業との差が背景にあるようだ。

ゼロトラスト導入のプロセスと具体的な施策

日本企業ではゼロトラストに注目する企業は多い一方で、実際に導入にまで至る企業が少ないとのことだが、武田氏は「それでも、日本企業ならではのゼロトラストは可能であり、決して難しいことではありません」と話す。ゼロトラストを導入するために、具体的にどのようなプロセスが必要なのだろうか。

「大切なのは、『なぜ導入するのか』『導入後の理想の状態はどのようなものなのか』『期待できる効果は何か』を明確化することです。あるべき姿を描き、そこから逆算してそのギャップを埋めていくのが効果的です」

そこでは、社内のシステムを全てクラウドに移し、あらゆるアクセスをゼロトラスト化するといった大きな目標を掲げる必要はないという。

「全社的なシステムでなくても、特定の部門だけ、特定のアプリだけ、といった導入の仕方があっていいでしょう。現場の皆さんのニーズに応えて利便性が向上するものであるべきです。ルールを細分化した結果、従業員が使いづらくなってしまうというのでは本末転倒です。必要に応じた認証や手間なく使える多要素認証などで構成を決めていきます」

またクラウドのメリットを生かし、インパクトの少ない部分から徐々に導入していくのもセオリーだという。そこで大事になってくるのが、情報システム部門だけでなく、現場のリーダーが率先して導入プロジェクトに関与することだ。

「例えば、名刺管理のシステムなどは、情報システム部門ではなく、営業部門など現場主導で構築する方が理にかなっているでしょう。そのとき、プログラムまでは書けなくても、ITリテラシーのある人材との協力体制を築けるかがポイントになります。もちろん、情報システム部門も現場任せにせず、IDの管理などについては全社的な在り方を検討し実行していくといいでしょう」

そう語る武田氏が勧めるのは、ゼロトラスト導入をきっかけに、社内の認証に「無駄」などがないか棚卸しをすることだ。

「申し込んだけれども使っていないSaaSサービスや、退職した従業員のIDがたくさん残っているという企業をよく見かけます。それらを整理するとともに、煩雑な管理を自動化するツールなどもありますので活用するといいでしょう」

大切なのは「自社がどのような企業として成長したいのか」を具現化すること

ゼロトラストだけでなく、全社的なセキュリティ体制構築に当たり、成否を決めるのはどのような点だろうか。

「テレワークの導入が発端であるとしても、そこには業務効率化の追求などが目的としてあると思います。これを機会に働き方改革を進める企業もあるでしょう。そこでスコープ（照準）を合わせるべきなのは、誰のために、どんな仕組みを構築するかという点です。言い換えれば、それは、自分たちがどんな企業になりたいのかということにほかなりません」

セキュリティ体制構築は、情報システム部門のみならず、現場のリーダー、さらに経営者が「自分ごと」として取り組むべきテーマと言えるだろう。まずは今日からでも、自分たちの周りを見渡し、棚卸しからスタートしたいところだ。