国内で「働き方改革」として注目されてきた領域は、リモートワークや在宅ワークといった「場所や時間に制限されることなく働くことのできる環境」の構築、もしくは長時間労働の是正を議論の主体としている。
一方、デジタル・ワークプレースの意味するところはそれよりも広く、新たな技術の導入やコンシューマー・テクノロジの応用などにより従業員の就業意欲を高め、創造性と俊敏性の向上を目指すことまでをその範囲としている。
例えばクラウド、モバイル、ソーシャル、アナリティクスに関連するテクノロジやコンセプトは、デジタル・ワークプレースを支える重要なインフラストラクチャになる。
ガートナーが2019年2月に国内企業を対象に実施したユーザー調査の結果、全体の52.2%が、デジタル・ワークプレースのセキュリティ対策に何が必要かをいまだ把握できていないという現状が明らかになった。「どのようなセキュリティ対策が必要なのか分からない」と答えた企業は42.3%であり、「十分なセキュリティが確保できないため採用を進められない」と答えた企業も9.9%存在した(図参照)。
ガートナーのアナリストでシニア プリンシパルの矢野薫氏は、次のように述べている。
――デジタル・ワークプレースのセキュリティを検討する企業の多くは、セキュリティとユーザーの利便性の問題に直面しています。これは長年にわたりセキュリティの担当者を悩ませてきた課題であり、以前よりジレンマとして存在していたものです。従来のワークプレースは、そもそも自由度や柔軟性に限りがある中で働くことが前提であったため、セキュリティと利便性のバランスが取れていなくても、必要なセキュリティ・レベルを保つことが優先されてきました。
―― 一方、デジタル・ワークプレースが目指すものは、自由に、そして柔軟に働く環境の構築です。そのため、セキュリティの強化により業務の効率が下がったり、従業員の行動が制限されたりすることは、デジタル・ワークプレースの目的に反します。また、今までにない新たなテクノロジを活用して利便性を確保しようとすると、十分なセキュリティを確保できなくなり、その結果、新しい環境のセキュリティのリスクに耐えることができなくなります。
――デジタル・ワークプレースにおいては、セキュリティと利便性のバランスが取れないことを言い訳にできないという点が、今までのセキュリティの取り組みにはない大きな特徴なのです。
デジタル・ワークプレースのセキュリティ、4つの対策
セキュリティと利便性のジレンマを解消するために、デジタル・ワークプレースのセキュリティにおいては、以下の4つの点から対策を進めていく必要がある。
1. セキュリティの方向性:「ゼロ」or「諦める」から「許容範囲を小さくする」に
従来のセキュリティの考え方は、不安を払拭するためにセキュリティを強化するか、利便性を重視してセキュリティを諦めるというものだった。
デジタル・ワークプレースでは、不安への対応ではなく、「リスク」への対応として、できる限りリスクを小さくして、自社が許容できる範囲の「枠」の中に収める、という考えに基づき、「セキュリティのリスクをどのようにすれば小さくできるか」という観点から、セキュリティ対策の議論を進めることが必要となる。
2. セキュリティの前提:「XXない」前提から「〇〇できる」前提に
従来のワークプレースは「持ち出さない、接続しない、アクセスしない」という前提の上にあり、そもそも働き方の自由度や柔軟性が制限されている。それに対して、デジタル・ワークプレースでは、「外でも使う、ネットワークにつながる、いつでもどこでも見られる/触れる」ことが前提となりる。
セキュリティのリーダーは、従来のルールを無理やり適用するのではなく、デジタル・ワークプレースという新しい環境を前提とした新しいセキュリティのルールを策定すべだ。
3. セキュリティのルール:「禁止」から「許可」に
従来のセキュリティ・ルールの特徴の1つは、「禁止」するセキュリティだった。一方、デジタル・ワークプレースのセキュリティは、ユーザーが自由かつ柔軟に働けるよう「許可」することからスタートする。従来のセキュリティ・ルールのもう1つの特徴は、一度決めたルールをそのまま使い続けているという点にある。
しかし、デジタル化が進むことで、セキュリティのリスクだけでなくユーザーの利用状況も刻々と変化する。よってデジタル・ワークプレースのセキュリティにおいては、ユーザーの利用状況やセキュリティ上の脅威の変化に応じてルールを変更し、最適なセキュリティ強度に調整していくという新たなアプローチが必要となる。
4. セキュリティのツール:「最初の設定のまま放置」から「見続ける」「使い続ける」に
従来のワークプレースのセキュリティで用いられるツールは防御を主体としたものが多く、一度設定したらその後は機能し続けることから、ある意味そのまま「放置」しておくこともできる。
デジタル・ワークプレースのセキュリティでは、ユーザーの利用を許可し、利用状況を見続け、必要に応じてセキュリティ設定を変更する運用が求められる。よって、活用するツールも、利便性の確保、セキュリティの確保、継続的なモニタリングの実施、という3つの機能をカバーできるものが求められる。
矢野氏は次のように述べている。
――長年にわたりセキュリティの担当者を悩ませてきたセキュリティと利便性の問題は、二者択一でもなければ、言い訳にできるものでもありません。これは、『許可する』セキュリティから始めることで、解決可能な課題としてリアリティをもって取り組むことができる活動なのです。
なお、ガートナーは8月5~7日、ANAインターコンチネンタルホテル東京(東京都港区)において「ガートナー セキュリティ&リスク・マネジメント サミット 2019」を開催する。サミットでは、「新たな時代の幕開け~セキュリティのファンダメンタルを確立せよ~」をテーマに、新たな時代に向けて、セキュリティ/リスク・マネジメントのリーダーがどのようにリーダーシップを発揮し、何をすべきなのかについて、実践的な提言を行うという。
■調査手法
この調査は、国内のIT部門、特にセキュリティに関わるマネージャー向けのアンケートを通して、日本における企業・組織のさまざまなセキュリティのニーズや課題を分析することを目的に実施した。有効回答数は515件で、日本全国の従業員数500人以上の企業を対象にしている。
回答者は、セキュリティ領域における製品、ソリューション、サービスの導入や選定に際して決裁権がある、または関与している役職、もしくはセキュリティ戦略に関与している役職を想定している。
