従業員のスマートデバイスやクラウド利用に伴う企業の課題を考える

スマートデバイスの台頭に伴い、コンシューマ、いわゆる一般消費者の IT環境は一変しました。出先でタブレットから大容量の動画を見るという光景は当たり前となり、データの多くはすでに自宅の PC ではなく、クラウド上に保管され、いつでも参照できます。

これらの変化は、コンシューマ向けに開発された IT が業務に活用される「コンシューマライゼーション」として、企業にも波及しています。企業でのスマートデバイスやクラウドサービスの利用は、コミュニケーション強化やマーケティングの変革などの形でビジネスに貢献しています。

他方、自社への導入にあたっては、コンシューマライゼーションが新たなセキュリティリスクを増大させることを危惧し、導入に消極的な見方をする企業の IT管理者も少なくありません。

トレンドマイクロが 2013年末に行った調査では、全社的な ITセキュリティの責任者や担当者の約 6割が、コンシューマライゼーションの代表格である BYOD や、個人向けクラウドストレージの業務利用について、セキュリティ上の不安から消極的であると回答しています。しかも、利用に消極的な理由として、「具体的にはなし」、「何があるかわからない」といった漠然とした回答を行っている責任者や担当者が約 3割おり、情報漏えいに次いで 2番目に高い回答となっています。

BYOD の採用に消極的となるセキュリティ上の具体的な理由は?(n=315)
BYODの採用に消極的となるセキュリティ上の具体的な理由は?(n=315)

個人向けクラウドストレージの業務利用に消極的となるセキュリティ上の具体的な理由は?(n=315)
個人向けクラウドストレージの業務利用に消極的となるセキュリティ上の具体的な理由は?(n=315)

調査結果では、情報漏えいの懸念と漠然としたセキュリティへの不安から、コンシューマライゼーションを自組織で積極的に取り入れるべきでは無いという意見が多数です。このような新たな IT の潮流は、セキュリティの観点から禁止すべき事柄であり、管理者による統制のもと、従来どおりの IT環境を維持することが企業にとっての最適解なのでしょうか?

本来、新たな ITツールやサービスの導入は、「ユーザの利便性」や「セキュリティ強度」の検討ありきではなく、それらが自社の「ビジネスに有益かどうか」の検討が先頭にあるべきです。結果、必要無いと判断されれば、無理に導入する必要はありません。他方、「新たなIT」の活用がビジネス上有効と判断されたら、管理者は従来の運用やシステムの枠組みにとらわれず、「新たなセキュリティ」を実装することを求められます。

そのためには、システム上で守るべき「情報」とその「価値」を明らかにし、価値に応じたセキュリティを実装することが欠かせません。

システムへの実装時はシステム上で扱う情報の価値に応じ、最低限制御すべき項目と利用を可視化すべき項目を明確にすべきです。検討の結果、禁止する行為については、従業員に実状を踏まえた適切な代替手段を提供することで、「シャドーIT」によるセキュリティリスクの増大を防ぐことも重要です。

従業員は、これまで IT部門で一手に引き受けていたセキュリティへの対応、各々の端末に含まれる機密情報の管理について、各自で明確に責任を持つことになります。それらを業務上の責任として明確にすることも必要となるでしょう。

管理者は、システム上にある情報の棚卸と同時に、その重要度に応じたセキュリティのベースラインを設定し、レベル別の対策規定を定める必要があります。また、従業員のリテラシーを高めるための教育に加え、一方的な取り締まりではなく従業員の実状を理解したルールの設定やアドバイスを行うことも重要です。

コンシューマライゼーション時代における企業の ITセキュリティの在り方についてまとめたレポートは、以下リンクからダウンロードできます。レポート内では、企業でのスマートデバイスやクラウドストレージ活用における具体的なセキュリティの検討方法などを解説しています。エンドユーザ部門における従来からのセキュリティ対策の見直しや、安全な情報交換を実現するための対策の検討にお役立て下さい。

コンシューマライゼーション時代のビジネスを支えるセキュリティとは?