行政機関の職員、新しい調査で Microsoft の技術により安全性が低下すると回答

※この投稿は米国時間 2022 年 4 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud に加わる前、私は 20 年にわたり公共部門でさまざまなセキュリティ関連の職務に従事していました。直近では、新たに設立されたサイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）でサイバーセキュリティ部門の責任者を務めており、100 あまりの民間機関にサービスと機能を提供し、全米の州や地方自治体のパートナーに重要なインフラストラクチャを提供していました。

米国の行政機関で勤務していた間、私は不正な行為者をシステムから排除するために多大な労力を費やしました。やがて気づいたのは、自分たちが不利な立場にいるということでした。対応しなければならないのは従来のシステムだけではありません。従来の思考にも対応する必要があったのです。ポリシーとセキュリティ機能は、不正な行為者から保護するための手段として境界ベースのアプローチに過度に依存しており、VPN などのツールにより摩擦が発生してしまっていたため、仕事の効率化が阻害され、不満が高まっていました。

私は、行政機関で勤めた最後の数年間、セキュリティに対するこのアプローチをモダナイズし、このビジョンを共有する多くの職員にサポートを提供することに最善を尽くしました。まだその当時の職員のほとんどがその機関に留まり、素晴らしい仕事をしていますが、米国行政機関のシステムへのたび重なるサイバーセキュリティ侵害は、重要な業務を中断させ、納税者に何十億ドルもの負担を強いています。たとえば、2020 年の SolarWinds 社への侵害では、行政機関や企業の損害は 1,000 億ドル以上に達し、重要な国家安全保障情報が失われた可能性があります。それでも多くの行政機関は引き続き従来の同じ生産性ソフトウェアに依存しています。

今回 Google Cloud の委託により Public Opinion Strategies が実施した新しい調査では、行政機関の多くの職員がこのような懸念を抱いていることが明らかになりました。この調査は、ワシントン DC の大都市圏の労働者 600 人と、全米の連邦、州、地方の行政機関で働く 338 人の職員を含む、米国の 2,600 人の労働者を対象に行われました。アンケートに回答した行政機関の職員の大多数が、今後数年間に自身の雇用主にサイバー攻撃が行われる可能性について、「非常に」懸念していると報告しています。また、調査対象となったワシントン DC の大都市圏の行政機関の職員の約 3 分の 1 が、サイバー攻撃によって仕事に支障をきたした経験があると回答しています。

調査の結果、従来のソフトウェアに対する満足度の低さも明らかになり、全米の行政機関の職員の 50% 以上が、より最適に業務を遂行するために役立つ他のプロダクトやサービスがあると回答しています。

これらの新しい調査結果は、行政機関の職員が直面している課題を示すだけでなく、行政機関の職員の業務遂行に役立つであろう、現行のものよりも優れたイノベーションとセキュリティが存在する可能性も示しています。

サイバーセキュリティに関する懸念

回答者の大多数は、今後数年のうちに連邦行政機関がサイバー攻撃の犠牲になる可能性は高いと思うと答えています。この割合は、ワシントン DC の大都市圏で働く人および行政機関の職員の間ではさらに高く、ワシントン DC の大都市圏に住む行政機関の職員の 40% が「可能性は非常に高い」と回答しています。

すべてのグループの回答者（全米、ワシントン DC の大都市圏、行政機関の職員）は、認識される脅威が身近になるにつれて、サイバー攻撃を懸念する傾向が高まりました。たとえば、調査対象者の 80% が、最近の攻撃により、自分や家族の個人データやプライバシーについて懸念するようになったと回答しています。そして、ワシントン DC の大都市圏で働く人や行政機関で働く職員は、全米平均よりも常に高い数字を示していました。

サイバー攻撃に対してこれほどまでに多くの人が懸念を抱いているのは、多くの回答者が職場でサイバー攻撃を受けたと回答していることが一因と考えられます。また、全米の労働者は 10 人に 1 人以上がサイバー攻撃による中断を経験しているのに対し、ワシントン DC に拠点を置く行政機関の職員では、この数字が 3 人に 1 人近くまで増加しました。これは全米平均の約 3 倍です。

IT の「モノカルチャー」による問題点

調査によると、ワシントン DC の大都市圏の行政機関の職員の 84% が、職場で Word、Outlook、Teams、OneDrive を含む Microsoft プロダクトを主に使用しています。これは、Omdia 社が最近行った別の調査でも確認されており、行政機関の職員の 85% が市場で圧倒的なシェアを誇る IT 生産性ベンダーである Microsoft の生産性ソフトウェアを使用していることがわかりました。

単一のソフトウェア スイートへの依存は、これらのプロダクトの安全性とセキュリティの高さを示しているのかもしれませんが、Public Opinion Strategies の調査によると、回答者全体の半数以上が行政機関のこれらの Microsoft プロダクトへの依存により、実際には連邦行政機関がハッキングやサイバー攻撃に対する脆弱性が高くなると回答していることがわかりました。

このような脆弱性があるにもかかわらず、なぜ行政機関の IT 部門は職場で同じ生産性向上ツールに依存し続けるのでしょうか？アンケート回答者によると、その理由はイノベーションよりも惰性に関係があるようです。雇用主が Microsoft のサービスを利用している理由を尋ねたところ、約半数が、仕事に最も効果的なツールを求めているというよりも、変化を望まないため、従来の既存ベンダーを選択し続けていると回答しました。

選択肢とシャドー IT

このような脆弱性への懸念と相まって、現在の IT ソリューションが職場のニーズに最適ではないという意見も調査対象者の間で顕著でした。職務で主に Microsoft を使用している調査対象者の約半数が、他社のプロダクトやサービスを利用する選択肢が欲しいと回答しています。また、職務で主に Microsoft を使用している調査対象者のうち 43% は、作業効率を改善できるプロダクトやサービスが他にあると考えています。

こうした状況により、「シャドー IT」、もしくは IT 部門が正式に承認または推奨していないプロダクトやサービスを使用する職員が増えている可能性があります。実際に、Public Opinion Strategies 社の調査では、35% のワシントン DC の大都市圏の行政機関の職員が業務を遂行するためにシャドー IT を使用したことがあることがわかりました。20 歳から 34 歳の職員の間では、その数字は 41% に跳ね上がります。

IT 購入の優先順位を見直す

調査回答者の多くが従来の IT ソリューションに不満があると回答していることから、行政機関は調達のアプローチを見直す時期に来ているのかもしれません。2021 年 12 月に Omdia が行った別の調査では、米国の連邦、州、地方自治体でテクノロジー購入の意思決定を担当する 250 人が、行政機関のテクノロジーと調達の慣行では多くの場合、従業員が最適と感じるソリューションではなく、IT 部門の作業を簡素化できるソリューションを選択していると回答しました。実際、その調査の回答者のうち、「ユーザーの要望」を購入の意思決定に影響する要因として挙げたのはわずか 27% でした。

行政機関が住民、そして職員の要望や要望を満たすために作業するなか、サイバーセキュリティの脆弱性やユーザーの認識の低さという事実があるにもかかわらず、従来のソリューションに過度に依存していることは明らかです。

Google Cloud では、調査によると全米の公務員の 70% が仕事以外で Gmail を使用していることから、全米の行政サービスで使用できるツールの多様性と選択肢を増やすべき時期が来たと確信しています。行政機関の職員は、私生活で使用しているのと同じように、オフィスでも柔軟性があり、安全性を重視して設計されたツールのメリットを享受する権利があります。Google Workspace for Government について詳しくは、こちらをご覧ください。