新型コロナウイルス感染症の対策としてのリモートワークが長期化するにつれ、以前のようなオフィスをベースとする働き方に完全に戻ることは考えにくくなっています。多くの企業が、リモートワークがもたらす柔軟性と生産性の向上を歓迎している一方で、セキュリティ事情が劇的に変化していることを私たちは実感しています。Cloud Industry Forum(クラウド産業フォーラム)による最近の調査では、英国で事業を展開する企業の41%が、自社のリモートワークソリューションはオフィスの環境ほどセキュアではないと認めており、その大多数(83%)が、今般のパンデミックの影響でIT戦略を変更したと回答しています。
リモートワークにおけるセキュリティを確実にするためには、IT部門に全てを委ねるのではなく、組織全体で「信頼のカルチャー」を築くことが必要です。組織の上級責任者は、組織がリモートワークに使用するシステムにおいて、セキュリティが最初から確保されていることを信頼できなければなりません。顧客は、自身のデータが保護されていることを信頼し、安心できなければなりません。従業員は、セキュリティをサポートするシステムが整っていることを信頼できなければなりません。
これを確実にするには、企業は、エコシステム全体での信頼性を確立し、セキュリティをあらゆる業務の一部として組み込むことが必要です。そうすることで、リモートワークのセキュリティ実現を支援する人、プロセス、プラットフォームに対する信頼が生まれます。
信頼に基づくアプローチ
企業のサイバーセキュリティ戦略においては、人が介在する部分が最も脆弱であるといわれています。当然ながら、従業員の行動に起因するリスクの監視は、リモートワーク環境では難易度が高まります。英国のリモートワーカーの3分の1以上が、勤務先企業のアプリケーションやネットワークに個人所有のデバイスからアクセスすることが許可されているという調査結果もあります。さらに懸念されるのが、リモートワーカーの5分の1が、業務用のメールやパスワードを、私用でアクセスするWebサイトやアプリケーションにも利用していることです。
自社のサイバーセキュリティ戦略に自信を持てることは、自身の組織を信頼できることを意味します。エコシステム全体の信頼性を高めるには、サイバーセキュリティにおける信頼は一度確立すれば終わりというものではなく、常に進化すべきものであると理解することが極めて重要です。
私は、自身の経験から、信頼を築くために最も効果的な方法は、共感をもって耳を傾け、学び、導くことだと考えています。セキュリティプロトコルに従うことは困難だという反論に対しては、相手を説き伏せようとするのではなく、理解に努め、実践可能なソリューションを見つけることが大切です。また、過ちや失敗について率直に話すことを奨励し、プロアクティブな行動には称賛を示すようにすることです。組織内の信頼は、それが寛大かつ賢明に与えられ、人々が話を聞いてもらえていると感じたときに倍増します。
経営とセキュリティの整合性を高める
セキュリティ対策の一部には、かねてより悪評をかっていたものが存在します。職務に忠実なIT部門によってセキュリティソリューションが導入された結果、従業員が、業務に必要な情報にアクセスしにくくなってしまったことに起因します。業務のニーズに合わないセキュリティ対策を導入しても、人は抜け道を探し出してしまい、実践されません。エンドユーザーがセキュリティを「邪魔もの」と考えている限り、私たちは不必要なリスクを抱え続けることになります。実効性のあるセキュリティ対策には、導入しやすく、実践しやすいツールやソリューションが欠かせません。
私は、優れたセキュリティソリューションは、「ボルトオン」ではなく「ビルトイン」であると考えています。生産性を犠牲にせず、意思決定を促すための指針を提供し、従業員を信頼して成功に導くことです。テクノロジーによって、その実現が可能になります。たとえば、データタイプごとにセキュリティの分類を自動的に適用するAI駆動型のツールを使用する、といったことです。ツールの導入は最終目標ではありません。重要なポイントは、従業員に新たなハードルを課すことなく、セキュリティを業務のワークフローにシームレスに組み込むことです。
フリクションレスなセキュリティソリューションに投資することで、一人一人に自身の作成・共有したコンテンツに対するオーナーシップと説明責任の意識が生じます。それによって企業内における個々人の存在価値に対する意識が高まり、信頼のエコシステムが醸成されます。
[SMART_CONTENT]
業務に集中できる環境を整備する
信頼とは双方向で成り立つものではないでしょうか。セキュリティの専門家は、エンドユーザーの行動がセキュリティにおける最大のリスクの1つであると考えています。しかし私は、適切な方法をもってすれば、エンドユーザーはセキュリティを高める最大の要素になり得ると確信しています。セキュリティの脅威やベストプラクティスについての教育は、「ないよりはあったほうがいいもの」程度に考えられがちで、危機に直面したときには忘れられてしまいます。しかし、そのような状況にこそ、セキュリティ教育が必要になるのです。周囲に気を散らすものが多い環境は、主要なセキュリティの脅威の1つです。集中力を欠いている状況では、攻撃の成功率も高くなります。
このパンデミックにより、集中力の維持が以前にも増して難しくなっています。在宅勤務者の多くが、家族やペットに囲まれ、キッチンや寝室など、間に合わせの作業環境で業務を行っているからです。しかし、そのような環境でも、従業員は正しい判断をしたいと願っており、適切なサポートがあれば必ず信頼に応えてくれる人たちです。信頼するデバイスに関する明確なポリシーを策定し、それを伝達し、変化する脅威に関する情報を常に共有することで、堅固なセキュリティカルチャーを醸成できます。
十分な教育プログラムがまだ準備できていない組織も、この課題に単独で取り組む必要はありません。この領域に精通した専門家のサポートを受けることで、組織における学びのカルチャーに有機的に結びつける方法を見つけられます。
リモートワーク環境のセキュリティにおいて、そのような教育が重要なのはなぜでしょうか。それは、一人一人が、活躍の機会を与えられている、自社の成功のために自分は投資している、必要な存在なのだと実感することで、強い組織が形成されるからです。お金では買えない、信頼に基づくセキュリティ対策です。
本記事はシニアIT・セキュリティ専門家のコミュニティteissのWebサイト(https://www.teiss.co.uk/)に2021年3月19日付けで掲載された、Box , Inc. グローバル最高情報セキュリティ責任者ラクシュミ・ハンスパルの寄稿記事の日本語訳、転載したもです。
原文のリンクはこちら
