~「セキュリティが厳しすぎて仕事になりません」という苦情への回答 ~
「MFAを入れたらログインが面倒だと営業からクレームが来た」
「セキュリティ強化=我慢だと思われており、社内の空気が重い」
情シス責任者の皆さん、このような悩みを抱えていませんか?
これまでの常識では、「セキュリティ」と「利便性」はトレードオフの関係にありました。安全にするためには、パスワードを長くし、手順を増やし、社員に不便を強いるしかなかったからです。
しかし、ゼロトラストはこのシーソーゲームを破壊します。
正しく実装されたゼロトラスト環境では、「セキュリティレベルが上がるほど、社員の利便性も上がる」という逆転現象が起きます。
本稿では、「ユーザビリティとセキュリティの両立」をテーマに、VPNレスとパスワードレスがもたらす「摩擦のない(Frictionless)働き方」について解説します。
1. VPNのストレスからの解放:「切断」のない世界
「儀式」が生産性を殺している
毎朝PCを開き、VPNクライアントを立ち上げ、IDとパスワードを打ち込み、接続完了を待つ……。Web会議中に回線が不安定になり、VPNが切れて再接続する……。
この毎日の「儀式」は、社員の集中力と時間を奪う最大のストレス源です。
「IAP」なら、カフェからでも直結できる
ゼロトラストの技術要素であるIAP(Identity Aware Proxy)やZTNA(Zero Trust Network Access)を導入すれば、この儀式は消滅します。
社員は、自宅でもカフェでも、ブラウザを開くだけで社内システムに安全にアクセスできます。裏側では強力な暗号化と認証が行われていますが、ユーザーはそれを意識しません。
GoogleがBeyondCorpを推進した最大の動機の一つも、「エンジニアが世界中どこからでも、VPNなしで安全かつ高速に開発できるようにすること」でした。セキュリティは「足かせ」ではなく「加速装置」になり得るのです。
2. 「パスワードレス」は夢物語ではない
16桁のパスワードより「顔」のほうが強い
Vol.4で「MFAの義務化」を説きましたが、それは「パスワード+スマホのコード入力」という面倒な作業を増やすことではありません。
FIDO2(WebAuthn)などの技術を使えば、「PCに顔を向けるだけ(Windows Hello)」や「指紋センサーに触れるだけ(Touch ID)」で、本人確認が完了します。
これは、従来の「16桁の複雑なパスワード」よりも遥かに強固(フィッシング耐性が高い)でありながら、ユーザーにとっては「ワンタッチで終わる」という最高のUXを提供します。
ヘルプデスクの負荷も激減
「パスワードを忘れました」「ロックされました」という問い合わせ対応に、情シスはどれだけの時間を費やしていますか?
パスワードレス化は、社員を楽にするだけでなく、情シスの運用コストを劇的に下げる特効薬でもあります。
3. シャドーITを殺すのは「禁止令」ではなく「快適さ」
なぜ社員は「勝手なツール」を使うのか?
社員が勝手にGmailやDropboxを使う(シャドーIT)のは、会社に悪意があるからではありません。「会社のシステムが使いにくいから」です。
VPNが遅い、ファイルサーバーが重い、外部共有が面倒……。そうした不満が、彼らを危険な裏道へと走らせます。
「最高のUX」こそが「最強の防御」
「禁止令」で縛り付けても、抜け穴を探されるだけです。
シャドーITを撲滅する唯一の方法は、「会社の正規ルート(SSOや契約済みクラウドストレージ)を、裏道よりも圧倒的に使いやすくすること」です。
「会社のBoxを使ったほうが早いし便利だよね」と社員が思えば、誰も好き好んで個人のGoogleドライブを使ったりしません。
4. 結論:社員を「敵」にするな、「ファン」にしろ
セキュリティ強化プロジェクトを成功させるコツは、広報戦略にあります。
「セキュリティ強化のためにMFAを導入します(ご協力ください)」とアナウンスしてはいけません。
「VPN接続の手間をなくし、パスワード入力も不要にする『働き方改革』を実施します(そのために最新の認証基盤を入れます)」と伝えるのです。
中堅・成長企業の情シス責任者へ。
ゼロトラストは、あなたを「口うるさい警察官」から、「魔法のように仕事を便利にしてくれるヒーロー」へと変えるチャンスです。
技術(Tech)だけでなく、人(Experience)を見て設計すること。それが、持続可能なセキュリティの正体です。
