MENU

【GW活用連載第4回】 境界線のない時代の「守り」:ゼロトラストで実現する安心の経営基盤

DX事例
  • URLをコピーしました!

「会社にいれば安全だが、外で仕事をするのは情報漏洩が怖い」

「社員にスマホで仕事をさせたいが、紛失時のリスクを考えると踏み出せない」

DXを進める経営者が必ず直面するこの不安。その正体は、かつての「境界線型セキュリティ(城と堀の守り)」という古い常識にあります。

今回は、Googleが提唱する最新のセキュリティ概念「ゼロトラスト(何も信頼しない)」を、VPNとの違いを交えながら、中小企業の現場にどう落とし込むべきか解説します。

1. 「城と堀(VPN)」から「関所」の時代へ

これまでのセキュリティは、会社のネットワークという「堀」の中にいれば安全だと考えるものでした。外出先から社内データにアクセスする場合、「VPN(仮想専用線)」という秘密のトンネル(道)を通って、一旦「城の中」に入る必要がありました。

しかし、この「境界線」に頼る守りには、現代のビジネスにおいて2つの大きな弱点があります。

  1. 一度突破されると無防備: VPNを通じて一度「城内」に入ってしまえば、その人物は「味方」と見なされ、多くのデータにアクセスできてしまいます。万が一パスワードが盗まれた場合、被害は甚大です。
  2. 利便性と速度の低下: 全社員がVPNという狭いトンネルに集中すると、通信速度が落ち、業務効率が著しく低下します。

そこで登場したのが、場所を問わず「誰が、どのデバイスからアクセスしても、その都度厳格に本人確認を行う」という、ゼロトラスト(Zero Trust)の考え方です。

2. ゼロトラストを支える「3つの検証」要素

ゼロトラストは、単なる精神論ではなく、高度な技術によって支えられています。Google Workspaceは、アクセスがあるたびに以下の3つの要素を瞬時に検証し、一つでも疑わしい点があればアクセスを遮断します。

  • 「誰が」の検証(アイデンティティ):IDとパスワードだけでなく、スマホによる本人確認(2段階認証)を組み合わせ、アクセスしているのが確実に「本人」であることを証明します。
  • 「何を使って」の検証(デバイス):アクセス元のスマホやPCが、会社が許可した端末であるか、ウイルス対策や画面ロックが適切に設定されているかを確認します。
  • 「どんな状況で」の検証(コンテキスト):「普段は日本からアクセスしているのに、突然深夜に海外からログインされた」といった異常な状況を検知し、不正アクセスの兆候を見逃しません。

これら3つの関所を設けることが、経営者の安心を守る技術的要所となります。

3. 第1の関所:IDを守る「2段階認証」

「ログインのたびにスマホを見るのは面倒だ」という現場の反発。経営者としてどう向き合うべきでしょうか。

ゼロトラストにおいて、2段階認証は最も重要な「関所」です。これは、例えるなら「銀行のキャッシュカードと暗証番号」の関係と同じです。暗証番号(パスワード)が盗まれても、カード(スマホ)が手元になければお金は引き出せません。

今の時代、パスワードは「いつか漏洩するもの」として考えるのが現実的です。たとえVPNがなくても、手元のスマホに届く通知で「はい」を押さない限り、世界中のどこからもログインできない仕組みを整えること。これだけで、不正アクセスのリスクは99%以上削減できると言われています。

4. 第2の関所:デバイスを守る「エンドポイント管理」

ゼロトラストのもう一つの鉄則は、「信頼できないデバイスを放置しない」ことです。

中小企業における「落とし所」として、以下の最低限の設定を推奨します。

  • 画面ロックの強制: パスワードや指紋認証がないスマホからのアクセスを遮断する。
  • リモートワイプ(データ消去): 万が一の紛失時、管理画面から「仕事用データのみ」を消去します。これは、端末内の個人用Gmailや写真などのプライベートなデータには一切干渉せず、会社のアカウント情報だけを遠隔で削除する仕組みです。
  • OSのバージョン管理: 古い、セキュリティの脆弱なスマホを組織から弾く。

これらは、社員のプライベートを覗き見るためのものではありません。「仕事で使う以上、最低限の車検(セキュリティ基準)を通った車両(スマホ)を使ってください」という、仕事としてのルール作りなのです。

5. セキュリティが「将来の自由」を担保する

なぜ、VPNを捨ててまでゼロトラストへと舵を切る必要があるのでしょうか。それは、本連載の後半で扱う「AI活用」や「AppSheetによる業務アプリ開発」において、セキュリティが「アクセルを全開にするためのブレーキ」になるからです。

強固な認証基盤があるからこそ、社員はVPNに繋ぐ手間なく、どこからでも社内システムにアクセスでき、最新のAIを安全に使いこなすことが可能になります。守りが脆いままでは、せっかくの便利なツールも「危険だから禁止」にせざるを得ません。

結論

ゼロトラストとは、社員を疑うことではなく、「どんな環境でも、社員が安全に最高のパフォーマンスを発揮できるように整える」という、経営者の愛ある投資です。

「看板(ドメイン)」を掲げ、「型(組織)」を作り、「盾(セキュリティ)」を装備した。

これでいよいよ、組織の情報を「資産」に変えていく準備が整いました。

次回からは【情報共有・資産化編】として、属人化を排除する「共有ドライブ」の運用術に切り込んでいきます。

あわせて読みたい
【GW活用連載第3回】 デジタル本社の「型」を作る:Google 管理コンソールで構築する攻めのガバナンス Google Workspaceの「管理コンソール」はデジタル上の本社ビル。情報の適切な開示、組織部門(OU)の最適設計、連載第3回ではパスワード共有を廃止するGoogle グループの活用術まで、中小企業の経営スピードを加速させる組織デザインの要諦を解説します。
あわせて読みたい
【GW活用連載第2回】 コストと機能の最適解。ライセンス選定の勘所 Google WorkspaceのBusiness StarterとStandard、どちらを選ぶべきか?最新のワークフロー構築ツール「Workspace Studio」やAI活用、さらに「ストレージプール」の仕様変更を踏まえた、経営視点でのライセンス選定術を解説します。
あわせて読みたい
【GW活用連載第1回】経営の「スピード感」を変える第一歩:なぜ今、Google Workspaceなのか? DXの第一歩は「独自ドメイン」による信頼の確立と、Google Workspaceによる基盤構築から始まります。経営のスピードを加速させるためのドメイン設定の要諦と、将来の拡張性を見据えたコストを抑える賢いアカウント管理術をプロの視点で解説します。
DX事例
google セキュリティ
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

FP Supportersのアバター FP Supporters

多摩地域を中心に活動する中小企業診断士/FP1級技能士/プログラマーが経営する会社です。会社が本業に集中するための時間を生み出す、「すぐできDX」を推進しています。
経済産業省認定の経営革新等支援機関ですので、安心してご相談下さい。

おすすめ記事

目次