「何を守るか」を明確にすることがセキュリティ設計の第一歩

ITの進化は企業のビジネスやワークスタイルを大きく変えようとしている。モバイルに象徴されるように、いつでも・どこでも仕事ができる環境が整いつつある。その一方、サイバー攻撃や情報漏えいなどのセキュリティリスクも高まりを見せる。

安全を担保しつつ、社員が自由に仕事をするにはどうすべきか。そして、今後モバイルはどう変わっていくのか。
iモードの生みの親の一人として知られ、日本のITビジネスの進展に貢献する慶應義塾大学 特別招聘教授の夏野剛氏に話を聞いた。

―― 企業ビジネスや私たちの生活にとって、ITは不可欠の存在となっています。ITの重要性をどのように認識していますか。

―― 自由度が損なわれる要因をどのように見ていますか。

サイバー攻撃や情報漏えいなどのセキュリティリスクに対する懸念が大きいですね。セキュリティ対策は必要不可欠なものですが、それが現場のニーズや運用とマッチしていないのです。がんじがらめのセキュリティ対策によって、自由度が損なわれるという悪循環に陥っているケースが少なくありません。

覚えきれないほど長いパスワードの入力はその典型。それを定期的に変更することも求められる。覚えきれないから、社員はパスワードを紙に記録しておく。その紙を紛失してしまったら、元も子もありません。

情報漏えいを危惧するあまり、USBメモリの利用を制限する企業も少なくありません。ですが、いつも持ち歩くスマートフォン自体が大容量のメモリのようなもの。USBメモリの利用を制限したところで、情報漏えいの抜本的な対策になるとは思えません。

スマートフォンやノートPCの外での利用を禁止するのも本末転倒な話です。携帯性・機動性に優れたデバイスのはずなのに、外出する時はロッカーに入れて鍵をかけてしまうことがルール化されている企業もあります。

Webのアクセスを制限することでリスクの低減を図る取り組みも進められていますが、これでは自由に情報の検索もできない。知りたい情報にすぐにアクセスできなければ、仕事の効率が上がらないのは当然でしょう。

―― どうして現場のニーズや運用にマッチしないセキュリティ対策が行われるのでしょうか。

―― がんじがらめのセキュリティを脱するには、どうすべきですか。

経営者がリスクと効率のバランスをきちんと判断すること。「とにかく万全を期す」ではなく「何のために、何を守るのか」を明確にした上でセキュリティ設計を考えるべきです。

現場の業務や扱うデータの特性を踏まえて、守るべき優先順位を付け、それをセキュリティ担当者に伝える。方針さえわかれば、セキュリティ担当者はそれを具現化する手立てを知っています。

具現化する手立ての一つとしては、守るべき機密情報の特定とアクセスできる権限を明確化することが挙げられます。アクセス権限は必要最低限の人員にのみ与え、アクセスログを取得して分析すればリスク低減が可能です。

また、ITのメリットを損なわずにセキュリティレベルを高めるには、VDI（仮想デスクトップインフラ）が有効です。データやアプリケーションはサーバー側で集中管理するので、端末側にはデータが残りません。この仕組みがあれば、BYODもやりやすくなる。もし外出先でモバイル端末やスマートフォンを紛失・盗難しても、データが外部に漏えいするリスクが極めて低いからです。利便性を損なうことなく、情報の保護を徹底できます。

リスク管理に慎重になって、BYODを禁止している企業もありますが、個人の端末と業務用の端末を2台持ちする方が危険な面もある。勤務時間外に業務用の端末を紛失してしまった場合、そのことに気づきにくいからです。紛失したことに気づくのが遅れると、それだけリスクにさらされる時間が長くなる。ですが、24時間利用する個人の端末なら、紛失したらすぐに気づくはずです。遠隔ロックをかければ、なかのデータは守れるし、VDIの仕組みで運用していれば、業務データは端末側に残っていないので安心です。

―― 守りの考え方を変えていく必要があるわけですね。

今のセキュリティはリスクの混入を防ぐことを重視しすぎて、仕事の効率を損なっている面もあることを認識すべきです。
社員に負担をかけるような認証の仕組みは改めたほうがいい。例えばパスワード管理に加え、生体認証を組み合わせたログイン認証を行えば、社員に負担をかけずにセキュリティを担保できるのではないでしょうか。

Webアクセスに関しても、利用を制限するより、アクセスログ管理を徹底する方がセキュリティ強化には有効です。利用に制限などかけず、社員には自由にネットを使わせていい。ただし、誰が・いつ・何にアクセスしたかはしっかりチェックする。ログを分析すれば、不審な動きをしたり、怪しいサイトにアクセスしたことはすぐにわかります。そこでアクセスをブロックしたり、ペナルティをかければ、リスクの拡大を防げます。ITの自由度も担保できるので仕事の効率も損なわずに済みます。

―― 組織として、経営者の判断をサポートしていくことも大切ですね。

もちろんです。その役目を担うのがCIOであり、情報システムの責任者です。彼らがシステム開発の段階から現場の社員を巻き込んで、社員の負担にならない「使いやすいセキュリティ設計」を考えていく。そうしないと、セキュリティが業務システムと“別物”になり、現場と乖離したものになってしまいます。

今後もITはさらに進化していきます。あらゆるモノをネットワークでつなぐIoT、予測や高度な分析を実現するAIなど、新たなテクノロジーも次々登場しています。これらを安全に活用するためには、セキュリティも高度化していく必要があります。

しかし、セキュリティを重視するあまり、仕事の効率や生産性を損なうのは本末転倒。「何を守るべきか」を経営者が判断した上で、必要性に応じて重すぎないセキュリティ考える。ITをビジネスの武器にして成長を図るためには、そういう取り組みが今後ますます重要になってくるでしょう。

―― 最後に、今後IT、モバイルの世界はどのように変わっていくとお考えですか。

• 「舘野 真人氏（株式会社アイ・ティ・アール　シニア・アナリスト) 」が語る

  New Normalの時代に求められるコミュニケーション環境のあり方

• 「馬場 正博氏（BBIコンサルティング代表、中小企業診断士) 」が語る

  在宅ワークではコラボレーションツールと人材マネジメントはどうあるべきか

• 「坂 明氏（一般社団法人 日本サイバー犯罪対策センター理事) 」が語る

  増大するセキュリティリスク、攻撃者は弱いところを狙っている

• 「牧野 二郎氏（牧野総合法律事務所　弁護士) 」が語る

  改正個人情報保護法を見据え、企業が取るべき対策とは

• 「梅崎健理氏（株式会社ディグナ　代表取締役) 」が語る

  デジタルネイティブ世代のセキュリティ意識とは
  ～ 若者はセキュリティの意識が薄くその前提で新入社員を教育する必要がある ～

• 「夏野剛氏（元NTTドコモ役員　現 慶應義塾大学　特別招聘教授) 」が語る安全への考え方

  「何を守るか」を明確にすることがセキュリティ設計の第一歩
  ～ 人とモバイルの在り方はどう変わっていくのか ～

いまほしい栄養（情報）をピンポイントで補給できる“ビジネスのサプリメント”
「ビズサプリ」のご紹介