2020年4月に発出された緊急事態宣言を受け、多くの企業はテレワークの導入を進めたが、各組織のセキュリティ担当者は自社のネットワークセキュリティを守りつつ、迅速かつ安価にテレワークシステムを構築・運用することに頭を悩ませていた。こうした中、契約や調達を行なうことなく、直ちにインストールでき、簡単に利用開始できる、無償・ユーザ登録不要のテレワークシステムとして注目されたのが、独立行政法人情報処理推進機構(以下、IPA)と東日本電信電話株式会社(以下、NTT東日本)が開発・公開した「シン・テレワークシステム」だった。瞬く間に13万人のユーザを集めたこのシステムは、LGWANに接続されている自治体の業務用端末に、自宅のインターネット回線からいつでも安全に接続することができる「自治体テレワークシステム」にも転用され、コロナウイルス禍での自治体職員の働き方を大きく変えつつある。これらの開発プロジェクトを中心となって率いた、IPA産業サイバーセキュリティセンター登大遊氏に、同システム開発の背景とその根底にある日本型組織におけるシステム開発の課題について話を伺った。
まずは、「シン・テレワークシステム」開発に至った背景を教えてください。
縁あって私がIPAに籍を置きつつNTT東日本に兼業で入社した直後、2020年4月7日に最初の緊急事態宣言が発出されました。会社から緊急時以外は出社しないように言われたため、自宅からNTT東日本の社内ネットワークにアクセスしテレワークを開始したのですが、速度がとても遅い。NTT東日本の社内テレワークシステムに、社員約数万人が一斉に集中したためだと思いますが、日本で最もITに強いNTT東日本ですらこの状態であるならば、他のITユーザ企業はもっと困っているのではないかと感じました。また、VPN環境を新設・増設しようにも、当時の報道によると、国内で使用されているVPNルータは大半が外国製で、機器の輸入に滞りが生じているとのことでした。
そんな時、たまたまネットで見たのが、ローランド・エメリッヒ監督のSF映画「インデペンデンス・デイ」でした。地球を侵略しようとする宇宙人に対抗するため、宇宙人の旗艦に侵入してコンピュータウィルスをばらまくと、バリアで守られていた旗艦配下の宇宙船にウィルスが伝播してバリアを無効化する、というストーリーです。そこから着想を得て作ったのが、「シン・テレワークシステム」です(図1)。VPNルータのような外国製のハードウェアを使わず、テレワークのプログラムを1つ作り、大勢の方に利用していただくことで、テレワークに関する多種多様な問題がワンストップで解決できるのでは、と考えました。
図1 「シン・テレワークシステム」の概要図
(出典)IPA提供
「シン・テレワークシステム」は、ほぼ私1人でプログラムを作成し、3週間くらいの突貫で開発しました。2020年4月21日にIPAから無償で提供を開始したこのプログラムは、現在では約13万ユーザに利用されています。
まさに超短期間開発だったのですね。そして、「自治体テレワークシステム」は「シン・テレワークシステム」をベースにして開発したとお聞きしました。
自治体からテレワークに関する相談が寄せられてきたのは、それから1か月くらい後のことでした。自治体のネットワークは「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の三層に分離することでセキュリティを確保しようとしていますが、その一方で、自宅などからのインターネット経由ではLGWANにアクセスできず、テレワークができない、というジレンマを抱えていました。そこでいくつかの自治体の方に話を伺ってみると、自治体職員がテレワークを実施するためには、他にも満たさなければならない要件があることが分かりました。例えば、テレワーク時のワンタイムパスワードの実施、LGWAN接続系内にあるドキュメントのファイル転送禁止、業務画面への透かし文字挿入、LGWANからインターネット網にアクセス可能とするホワイトリスト作成のためのIPアドレス範囲の開示など、その要望は多岐にわたっていました。
LGWAN接続系の運用状況を実際に見てみたいと思い、市役所に見学に行ったのですが、そこで驚いたのは決められたセキュリティ対策を愚直に順守するために犠牲となっていた運用の非効率さでした。前述の三層に分かれたネットワークごとに異なる端末が準備され、インターネットアクセス速度は遅く、また資料は画像になっていてコピー&ペーストが出来ず、職員は画面の文字を見て書き写しているような状態でした。また、テレワークについては、閉域SIMによるアクセスのみが唯一認められており、それ以外は利用許可を得るのが困難であるとのことでした。
そこでまず私が実施したのが、「三層の対策」を講じることを明記している「地方公共団体における情報セキュリティポリシーに関するガイドライン」(以下「ガイドライン」)の読解でした。このガイドラインに記載されている三層構造については、日本年金機構の個人情報流出問題の発生がきっかけで迅速に作成されたためか、一部整合性が取れていないと感じる箇所がありました。そこで、コンピュータのコードを読解してハックをするのと同じようにこのように工夫すればテレワークが実施できるのではないかという解釈集を「カンニングペーパー」として作成し、問い合わせされてきた自治体にこっそり配布していました。これはその自治体の方々に非常に喜ばれたのですが、このことが総務省にばれたことがきっかけとなり、総務省の理解を得て、IPAと地方公共団体情報システム機構(以下「J-LIS」)との共同で、自治体向けのテレワークシステム、「自治体テレワークシステム」の実証実験を実施することになりました。(図2)
図2 「自治体テレワークシステム」の概要図
(出典)IPA提供
「自治体テレワークシステム」は、「シン・テレワークシステム」をベースとして開発しました。「シン・テレワークシステム」は後先(あとさき)のことを考えず突貫で作成したことに加え、前述した自治体の方々からの要望を反映させる必要もあり、改変には苦労しました。また、「自治体テレワークシステム」向けに改善した内容は「シン・テレワークシステム」のユーザにも還元したいと考えました。それを可能とするために、2つのソースコードを一本化させた上で、フラグの設定によって「自治体テレワークシステム」「シン・テレワークシステム」それぞれの機能を制御できるようにしました。それらの改変に時間を要しましたが、それでも3週間くらいで「自治体テレワークシステム」を完成させることができました。
自治体の現場に導入するにあたって、どのような難しさがありましたか?
現在「自治体テレワークシステム」はおおよそ500弱の自治体に利用していただいています。一部、利用端末の環境にインストールされている端末監視ソフトの影響による問題は生じたものの、ほぼ問題なく動作しています。
また、LGWAN内にはもともと職員が利用できる掲示板があったのですが、使いづらそうな印象があり、また公式的な内容しか掲載されていなかったため、利用者間で自由に情報交換ができる場として「自治体テレワークシステム」のサポート用フォーラム(掲示板)を新たに立ち上げるという名目で、「IPALGWANスーパー掲示板」というものを作りました(図3)。フォーラムには匿名で書き込むことができるものの、自治体名だけは表示されるような仕組みとしたところ、職員が面白がって利用し、1,000件以上の書き込みが行われました。
図3 「IPA LGWAN スーパー掲示板」の画面
(出典)IPA提供
「シン・テレワークシステム」「自治体テレワークシステム」をIPAで開発する意義は何でしょうか?
これらのシステムをIPAで開発する意義は、日本人が自ら作成・改造できるソースコードを普及させること、そしてソースコードを作成・改造できる人材を育成することによって、日本の国力を高めることだと考えています。
現在、いくつかの国内ベンダがリモートアクセスを実現するゲートウェイ型のシステムを提供していますが、その大半が外国製のソフトウェアで、国内ベンダは外国企業からライセンス提供を受け、日本語に翻訳して販売しています。しかしこれは、日本の将来を考えるとこのような輸入品で満足することは良くないと考えています。
かつて米国では、AT&Tのベル研究所がUNIXを開発しました。ここで特筆すべき点は、AT&TがUNIXのソースコードを、希望する組織に、事実上無償公開で配布したことです。配布されたUNIXのソースコードを、米国の研究機関や大学、企業や国家のICT研究者が利用し、必要に応じて改造して利用しました。それがきっかけで、UNIX上でインターネット(当時のARPANET)のルーティングプログラムが実装されました。すべての技術ドキュメントは基本的に英語で構成されているため、英語圏ではプログラムを読むのは比較的容易である一方、日本人にとっては敷居が高くなってしまっています。日本人に必要なのは、自分たちで書け、改造できる日本語のドキュメントや日本語コメントが入った、品質が十分に確立されたソースコードを持ち、そしてそのプログラムを用いて色々な派生物を作ることができ、ビジネスもできる状態にすることです。「シン・テレワークシステム」は、近い将来、NTT東日本やIPAからオープンソースとして無料でソースコードを開示しようと考えています。それを実現できるのが、IPAだと考えています。米国のAT&Tに相当する電話会社が日本ではNTTであり、米国のARPAのような役割を担う国の組織が日本ではIPAであると考えています。
またIPAは現在、ソフトウェア関連分野で優れた能力を有する若い人材を発掘することに注力しています。「未踏IT人材発掘・育成事業」がそれであり、毎年10名程度の「未踏スーパークリエータ」を発掘し、支援しています。(図4)
図4 「未踏IT人材発掘・育成事業」の概要図
(出典)経済産業省第1回デジタル時代の人材政策に関する検討会資料より抜粋
振り返れば、Windows NT(現在のWindows10の起源)もMac OSもLINUXも、1人または少人数の逸材によって開発されています。「未踏スーパークリエータ」にも、そのような逸材が豊富に揃っています。次に我々がすべきことは、このような逸材が国内で自由に活躍できる環境を整えることだと思っています。
日本におけるエンジニア活用の課題は何でしょうか?
たとえば、NTT東西の「フレッツ光」を考えてみてください。フレッツ光は現在の日本の社会基盤で、電話網もフレッツの一部になりつつあります。1990年当時のエンジニアは、創造者として新しいネットワークサービスであるフレッツを自由な発想で作っていたそうです。しかし、最近のエンジニアたちは、当時の創造者たちのシステムに基づいたマニュアルを遵守し、その通りに運用することに注力してしまっています。このように、大企業では、従来のサービスを高品質で維持することが得意な「従来サービス型」の人材は豊富な一方、自ら新しいサービス、例えばAWSのようなものを作ることができる「イノベーション型」の人材が激減してしまいました。それが日本型組織の悩みだと思います。
当然、従来型のサービスを維持することは重要です。例えば、前述した自治体ネットワークのうち「マイナンバー利用事務系」などのミッションクリティカルなシステムは、「従来サービス型」として維持する必要があります。そのうえで、日本型組織が再び世界を席巻するためには、従来型のサービスは維持しつつ、新たな取り組みを取り入れることのできる「混在型のマネジメント」の実施が必要です。
例えばGAFAは、イノベーション型の人材は豊富ですが、日本型の人材は少ないでしょう。仮に、GAFAのようなイノベーション型人材のマネージャをNTT東日本に連れてきても、使い物にはならないと思います。実は、従来の組織やサービスを維持しつつ発展させるよりも、組織ごとスクラップ&ビルドするイノベーション型の方が実践は楽なのです。新たな組織を作ってイノベーションを起こすGAFAのような高効率な組織を作った前例は世界に多数あり、その手法は十分確立されています。これは再現性が高く、研究としては新規性がありません。一方、日本型のレガシーなサービスを得意とする巨大組織を、規模をそのままにして、全体を高効率に変換するという例はほとんどなく、手法が確立されていないことから、新規性があり、こちらの方が研究として価値があると思います。
日本型組織、例えばNTT東日本は会社の規模が大きく、予算も大きいが、それらを十分活用できていない。もし、会社の規模を活かしたまま、高効率にサービスを作ることができれば、より強力な存在になれる。既存組織の人材1人1人の生産性を上げる手法を確立することが出来れば、日本型組織の価値は増大し、GAFAの能力を超えることができると思います。
このように、日本が他国に勝つためには、大企業の量的な価値である会社の規模はそのままに、質的価値である生産性を向上させることが重要です。そして生産性の向上の方法を色々と試行錯誤して試してみるのが私のミッションであると考えています。「シン・テレワークシステム」や「自治体テレワークシステム」の事例は日本型組織の量的価値を「生産性」という質的価値に変換するための試みのごく初期のうちの一歩です。本来の生産性を取り戻したら、日本型組織の規模と品質は世界でトップクラスなのですから、日本は世界一に返り咲くことができるのではないでしょうか。
もう1点、イノベーション型の人材については前述した未踏スーパークリエータによって多数発掘されていますが、残念ながら今の日本には、彼らを活かすキャリアパスが整備されていないのが事実です。未踏スーパークリエータが進むキャリアパスは大きく分けて3種類あります。1つ目はGAFAに代表される海外の最先端IT企業に就職するパターン。2つ目は国内の大手企業の研究所に就職するパターン。しかしながら、その後、肌が合わずに退職して結局GAFAに就職することも多いと聞きます。3つ目はビッグデータやAIのスタートアップ企業に就職、もしくは自ら起業するパターン。日本の大手IT企業や行政機関に就職することはほとんどありません。彼らは、日本の大手IT企業や大規模な行政機関は、生産性が低く合理的ではないと考え、あまり信頼を置いていないのです。そしてそういう組織がいくら高い給料を出しても、彼らは就職してくれません。その結果、国の予算で発掘し育成した未踏スーパークリエータが外資系組織に流出してしまうことが起こっているのです。これは、解決しなければいけない問題です。
NTT東日本が最近取り組んでいる事例として、兼業があります。冒頭で軽く触れましたが、私はNTT東日本の特殊局員を兼務しつつ、IPAでサイバー技術研究室長を務めています。このように、他の企業や組織に属していながら、兼業で別の組織に携わる。これまではIPAもNTT東日本も兼業は一般的ではなかったのですが、これを積極的に活用することで、外部の優秀な人材がIPAのプロジェクトに参画するようになりました。このように、外部の人間が内部の人間になることが極めて大切だと思っています。外部から来た人間は、おかしいことを「おかしい」と直接指摘することができる。内部の人間と異なり、「おかしい」と声を上げることの空気に対する抵抗が少なく、またそもそもそのような指摘をすることが期待されているという面もあります。
行政職員がITスキルを高めるためにはどうしたらいいでしょうか。
行政職員の方がネットワークやコーディングのなどのITスキルを高めるためには、みずからネットワークを構築してみることをお勧めします。学生時代、趣味でサーバを立てたりネットワークを構築したりしたことのある人は、行政職員の中でも数パーセントはいらっしゃると思います。そのような方も、行政機関に就職後は、人事ローテーションでITとは異なる部署に配置されたり、ITの部署に着任しても調達仕様書を作成したりすることくらいしかやれていないと思います。そのようなIT好きな職員が集まり、既存の業務用ネットワークとは異なる第二のネットワークを自前で構築してみるのです。米国の多くの行政機関は、独立ネットワークを自分たちで構築してきた経緯があります。独立ネットワーク番号(AS番号)を取得し、ICANNからドメインをもらって自律システムを構築し、インターネットに自ら接続してセキュリティ対策もする。こうやって得る実践的な知識は、良いICTシステムの実装による組織価値の向上やサイバーセキュリティの実現に必須です。
先進的なもの、新しいサービスは、好きでやりたい職員が部署を越えて集まり、一気呵成に作るべきなのです。もちろん、システムダウンが許されないシステムは別ですが。
また、セキュリティについては、あえてセキュリティ問題を発生させてみることが大事です。人間と同じで、風邪をひかないと免疫力はつきません。自らネットワークを構築すれば、セキュリティ問題も発生することでしょう。それを自らの手で解決した経験こそが知識となり、自らを成長させるのです。危機感が必要なのです。但し、発生したセキュリティ問題が致命的にならない範囲で、リスクを分散しながら行うことは必要です。
このように、行政職員がITを「当事者」として取り組むことができるようになれば、何十年後かにはITが分かっている人が政策立案できるようになり、当事者の増加がおのずと国力の増加に繋がってくると思います。
職員全員がITの当事者となることが大切なのです。
