変革事例図鑑

事例：大規模組織における新しい働き方推進と両立する情報セキュリティ戦略 - 全社体制構築と従業員エンゲージメント向上アプローチ

はじめに：新しい働き方における情報セキュリティの重要性

近年、働き方改革の推進により、リモートワーク、サテライトオフィス利用、クラウドサービスの活用、モバイルデバイスの業務利用などが急速に普及しています。特に大規模組織においては、従業員の多様な働き方を支援する上で、これらの新しい働き方の導入は不可欠な要素となっています。

しかし、働き方の多様化は、同時に新たな情報セキュリティリスクをもたらします。社外からのアクセス増加、多様なデバイスからの情報漏洩リスク、クラウドサービスの設定不備、サイバー攻撃の高度化など、従来の境界型セキュリティだけでは対応しきれない課題が増えています。

大規模組織では、システム構成の複雑さ、従業員数の多さ、多様な職種・部署の存在といった特性から、セキュリティ対策の導入・運用は一層困難を伴います。全社一律の対策では現場の実態に合わず、かといって部署ごとにバラバラの対策では管理が煩雑になり、セキュリティレベルにばらつきが生じるリスクもあります。

本記事では、ある大規模組織が、新しい働き方を安全かつ円滑に推進するために、情報セキュリティ戦略をどのように再構築し、人事部門がどのように関与して課題を克服し、成功へと導いたのか、その具体的な事例をご紹介します。

事例概要：新しい働き方導入に伴う情報セキュリティ体制の再構築

この事例の大規模組織（以下、A社）は、従業員数1万人を超える多拠点・多事業を展開する企業です。以前から働き方改革には積極的に取り組んでいましたが、パンデミックを契機に全社的なリモートワークやクラウドサービスの利用を本格的に推進することになりました。

導入前の課題

新しい働き方の導入前、A社のセキュリティ対策は、主に社内ネットワークの境界を守るファイアウォールや、組織内PCの一元管理に重点を置いていました。しかし、リモートワークの拡大により、従業員は自宅やサテライトオフィスから多様なネットワークを経由して社内システムやクラウドサービスにアクセスするようになり、従来のセキュリティモデルでは対応が困難になりました。

具体的には、以下のような課題を抱えていました。

• アクセス経路の多様化によるリスク増大： 社外からのアクセスに対する十分な認証・認可の仕組みが不足していました。
• 従業員が使用するデバイスの多様化： 会社貸与PCに加え、一部でBYOD（Bring Your Own Device：個人所有端末の業務利用）の要望もありましたが、適切な管理・セキュリティ対策が未整備でした。
• クラウドサービス利用の拡大： 各部署が必要に応じて個別にクラウドサービスを導入・利用しており、情報管理やセキュリティ設定にばらつきがありました。
• 従業員のセキュリティ意識のばらつき： 定期的な研修は実施していましたが、実際の業務におけるリスクを自分事として捉えられていない従業員も少なくありませんでした。
• IT部門への負荷集中： セキュリティ対策の検討・導入・運用がIT部門に集中し、全社的な視点での戦略的な取り組みが進みにくい状況でした。

目的

A社は、これらの課題を克服し、新しい働き方による従業員の柔軟性・生産性向上というメリットを享受しつつ、情報資産を確実に保護することを目的としました。具体的には、「セキュリティリスクを低減し、従業員が場所やデバイスを選ばずに安全に業務を遂行できる環境を整備する」「従業員のセキュリティ意識を高め、セキュリティ対策を組織文化の一部として定着させる」ことを目指しました。

具体的な取り組みとプロセス

A社は、情報セキュリティを新しい働き方の基盤と位置づけ、IT部門主導だけでなく、人事部門、法務部門、各事業部門が連携した全社的なプロジェクトとして取り組みを進めました。

1. 情報セキュリティ方針・ガイドラインの見直しと周知徹底：

   • 新しい働き方を前提としたセキュリティポリシー（例：リモートアクセス時のルール、BYODに関する規定、クラウドサービス利用指針、情報持ち出し・共有ルール等）を策定・改訂しました。
   • 策定したポリシーは、単に配布するだけでなく、従業員向けに分かりやすく解説したハンドブックを作成したり、イントラネットでいつでも参照できるようにしたりするなど、周知方法を工夫しました。

2. 技術的な対策の導入（ゼロトラストモデルへの移行）：

   • 「社内は安全、社外は危険」という従来の考え方から脱却し、「すべての通信は信頼できない」という前提に立つゼロトラストセキュリティモデルの導入を検討しました。
   • 具体的には、多要素認証（MFA：Multiple Factor Authentication）、アクセス制御の強化（SSE：Security Service Edgeなどの活用）、エンドポイントセキュリティの強化（EDR：Endpoint Detection and Responseの導入）などを段階的に導入しました。これにより、デバイスや場所に関わらず、アクセス元の正当性を常に確認し、不審な挙動を検知・対処できる体制を構築しました。

3. 従業員への継続的なセキュリティ教育・意識向上策（人事部門の主導）：

   • 人事部門が中心となり、すべての従業員を対象としたセキュリティ教育プログラムを再設計しました。
   • 従来の集合研修に加え、eラーニングによる定期的な教育、フィッシングメール訓練（標的型攻撃メール訓練）、情報セキュリティに関する啓発コンテンツ（社内報、ポスター、動画など）の継続的な発信を実施しました。
   • 特に、新しい働き方に伴う具体的なリスク（例：公衆Wi-Fi利用時の注意点、Web会議ツールの安全な使い方、クラウドストレージの共有設定など）に焦点を当て、実践的な内容としました。
   • 部署ごとの業務特性に応じたカスタマイズ研修や、マネージャー層向けのセキュリティリスク管理研修なども実施し、現場での実践を促しました。

4. インシデント発生時の対応体制構築と訓練：

   • セキュリティインシデントが発生した場合の報告・連携フローを明確化し、対応チーム（CSIRT：Computer Security Incident Response Teamなど）を組織横断で組成しました。
   • 定期的に模擬インシデント訓練を実施し、関係部門の連携や対応手順を確認・改善しました。

5. IT部門との連携強化：

   • 人事部門は、新しい働き方に関する従業員のニーズや課題（利便性とのトレードオフなど）をIT部門にフィードバックし、技術的な対策の検討に活かしました。
   • IT部門は、最新のセキュリティ脅威情報や技術動向を人事部門に共有し、教育コンテンツの企画に協力しました。
   • 両部門が定期的に情報交換し、セキュリティ対策と働き方支援の両立を目指す体制を構築しました。

直面した課題と克服策

取り組みを進める中で、いくつかの課題に直面しました。

• 従業員のセキュリティ意識のバラつきと定着： 全員が同じレベルでセキュリティ意識を持つことは難しく、教育効果にも差が出ました。

  • 克服策： 一度きりの研修ではなく、継続的かつ多様なチャネル（eラーニング、メール、社内SNS、ポスター等）で繰り返しメッセージを発信しました。また、フィッシングメール訓練を定期的に実施し、訓練結果を基に個別指導や追加教育を行うことで、自分事として捉える機会を増やしました。マネージャー層への教育を強化し、部署内での注意喚起や指導を促しました。

• 複雑な技術導入と運用負荷： ゼロトラスト関連技術の導入・設定・運用は専門知識が必要であり、IT部門の負荷が増大しました。

  • 克服策： 導入・運用負荷を軽減できるクラウドベースのセキュリティサービスを積極的に活用しました。また、不足する専門知識は外部のセキュリティコンサルタントやベンダーのサポートを得ることで補いました。長期的な視点で、社内のセキュリティ専門人材育成計画を策定・実行しました。

• 利便性とセキュリティのバランス： セキュリティを強化しすぎると、従業員の利便性が損なわれ、業務効率が低下する可能性があります。

  • 克服策： 一律に厳格なルールを適用するのではなく、業務内容やアクセスする情報資産のリスクレベルに応じた柔軟なアクセス制御や認証方法を検討しました（リスクベースアプローチ）。IT部門と人事部門が連携し、従業員へのアンケートやヒアリングを通じて現場の声を収集し、セキュリティレベルを維持しつつ利便性も最大化できる妥協点や解決策（例：特定業務でのみBYODを許可し、VDIを利用させるなど）を模索しました。

• 投資対効果の可視化： セキュリティ対策への投資は効果が見えにくく、経営層への説明が難しい側面があります。

  • 克服策： セキュリティインシデントの発生件数・影響範囲・対応時間の変化、脆弱性検出数の推移、従業員のセキュリティテスト（訓練）の正答率向上、セキュリティ関連の問い合わせ件数変化などをデータとして収集・分析し、取り組みの成果を定量的に示す努力をしました。インシデント未然防止によるコスト削減効果なども推定して報告しました。

導入後の効果と成功要因

A社の取り組みは、新しい働き方を安全に推進する上で大きな効果を発揮しました。

• セキュリティリスクの低減： 全社的な対策の強化により、情報漏洩や不正アクセスなどのセキュリティインシデントの発生リスクが低減しました。特に、リモート環境からのアクセスにおけるセキュリティレベルが向上しました。
• 従業員の安心感向上： セキュリティ対策が強化され、かつ、その重要性や具体的な対策が従業員に分かりやすく周知されたことで、従業員は安心して新しい働き方を選択・実践できるようになりました。
• 新しい働き方の円滑な推進： セキュリティの懸念が払拭されたことで、経営層や管理職も新しい働き方に対して前向きになり、全社的な導入・浸透が加速しました。
• BCP（事業継続計画）強化： 場所に縛られない安全なアクセス手段が確保されたことで、災害発生時などの緊急時においても業務を継続できる能力が向上しました。

成功の要因としては、以下の点が挙げられます。

• 経営層の強いコミットメント： セキュリティ対策を単なるコストではなく、事業継続と新しい働き方の基盤を支える重要な投資と位置づけ、経営層が主導的に推進しました。
• 組織横断的な連携： IT部門だけでなく、人事、法務、事業部門といった関連部署が密に連携し、それぞれの専門知識や視点を活かした多角的な対策を講じました。特に、人事部門が従業員の意識改革や教育を担当した点は非常に効果的でした。
• 継続的な教育と周知： セキュリティ対策は技術だけでなく「人」が重要であるという認識のもと、全従業員に対する継続的かつ実践的な教育と情報発信を徹底しました。
• 利便性とのバランスへの配慮： セキュリティレベルを追求するだけでなく、従業員の業務利便性も考慮し、現場の声を反映しながら対策を調整したことで、従業員の納得感と遵守意識を高めることができました。

他の組織への示唆

この事例から、大規模組織が新しい働き方を推進する上で、情報セキュリティ対策は避けて通れない重要な要素であり、以下の点が示唆されます。

1. セキュリティ戦略は働き方改革とセットで考えるべき： 新しい働き方の制度やツールを導入する際には、必ず情報セキュリティリスクの評価と対策の検討を同時に行う必要があります。
2. 組織横断的な連携が不可欠： IT部門任せにせず、人事、法務、事業部門など、関係部署が共通認識を持ち、役割分担しながら一体となって取り組む体制を構築することが重要です。人事部門は、従業員への教育・啓発、意識改革の面で中心的な役割を担うことができます。
3. 「人」に焦点を当てた対策の強化： 技術的な対策だけでは不十分であり、従業員一人ひとりのセキュリティ意識向上と適切な行動が不可欠です。継続的で実践的な教育・訓練、分かりやすい情報提供を通じて、組織全体のセキュリティ文化を醸成する取り組みが求められます。
4. 継続的な見直しと改善： サイバー攻撃の手法や働き方の変化は速く、一度対策を講じれば終わりではありません。定期的なリスク評価、技術動向のキャッチアップ、従業員へのヒアリングなどを通じて、対策を継続的に見直し、改善していく必要があります。
5. 利便性との適切なバランス： セキュリティと利便性はトレードオフの関係になりがちですが、過度に厳格な対策は業務効率を著しく低下させ、かえって従業員が非公式な手段で情報共有するなど、シャドーITのリスクを高める可能性があります。リスクベースアプローチに基づき、業務実態に合わせた柔軟なルール設定や技術導入を検討することが重要です。

まとめ

大規模組織における新しい働き方の推進は、情報セキュリティ対策の再構築と切り離しては考えられません。本記事でご紹介した事例のように、経営層のリーダーシップのもと、IT部門と人事部門をはじめとする関係部署が緊密に連携し、技術・制度・人（従業員の意識・行動）の三位一体で取り組むことが成功の鍵となります。

特に人事部門は、従業員のセキュリティ意識向上に向けた教育や啓発活動において重要な役割を担います。情報セキュリティを「自分事」として捉え、適切な行動をとる従業員を増やすことは、組織全体のセキュリティレベル向上に直結します。

貴社においても、新しい働き方の導入や拡大を検討される際には、情報セキュリティの視点を忘れずに、全社的な取り組みとして計画・実行されることを強く推奨いたします。セキュリティは、多様な働き方を支える揺るぎない基盤となるはずです。