インタビュー 識者が語るセキュリティ
「何を守るか」を明確にすることがセキュリティ設計の第一歩
~ 人とモバイルの在り方はどう変わっていくのか ~
2016年7月
ITの進化は企業のビジネスやワークスタイルを大きく変えようとしている。モバイルに象徴されるように、いつでも・どこでも仕事ができる環境が整いつつある。その一方、サイバー攻撃や情報漏えいなどのセキュリティリスクも高まりを見せる。
安全を担保しつつ、社員が自由に仕事をするにはどうすべきか。そして、今後モバイルはどう変わっていくのか。
iモードの生みの親の一人として知られ、日本のITビジネスの進展に貢献する慶應義塾大学 特別招聘教授の夏野剛氏に話を聞いた。
セキュリティが仕事の効率を阻害する!?
―― 企業ビジネスや私たちの生活にとって、ITは不可欠の存在となっています。ITの重要性をどのように認識していますか。
日本経済はバブル崩壊以後、長く低迷を続けています。日本のGDPは過去20年でほぼ横ばいの状態です。ですが、米国に目を向けると、GDPはこの20年で137%も成長しています。
この違いは一体何が原因か。1つには、ITの活用度の違いがあると思います。日本はビジネスにおいて、米国ほどITをうまく活用できていない。
例えば、モバイルを活用すれば場所に依存しない働き方が可能になります。自宅や外出先でもオフィスにいるのと同じように仕事ができます。ですが、その自由度が十分に発揮できていない。日本経済が成長を図るには、もっとITを積極的に活用して仕事の生産性や社会効率の向上を目指す必要があるでしょう。
―― 自由度が損なわれる要因をどのように見ていますか。
サイバー攻撃や情報漏えいなどのセキュリティリスクに対する懸念が大きいですね。セキュリティ対策は必要不可欠なものですが、それが現場のニーズや運用とマッチしていないのです。がんじがらめのセキュリティ対策によって、自由度が損なわれるという悪循環に陥っているケースが少なくありません。
覚えきれないほど長いパスワードの入力はその典型。それを定期的に変更することも求められる。覚えきれないから、社員はパスワードを紙に記録しておく。その紙を紛失してしまったら、元も子もありません。
情報漏えいを危惧するあまり、USBメモリの利用を制限する企業も少なくありません。ですが、いつも持ち歩くスマートフォン自体が大容量のメモリのようなもの。USBメモリの利用を制限したところで、情報漏えいの抜本的な対策になるとは思えません。
スマートフォンやノートPCの外での利用を禁止するのも本末転倒な話です。携帯性・機動性に優れたデバイスのはずなのに、外出する時はロッカーに入れて鍵をかけてしまうことがルール化されている企業もあります。
Webのアクセスを制限することでリスクの低減を図る取り組みも進められていますが、これでは自由に情報の検索もできない。知りたい情報にすぐにアクセスできなければ、仕事の効率が上がらないのは当然でしょう。
経営者がリスクと効率のバランスを考えるべき
―― どうして現場のニーズや運用にマッチしないセキュリティ対策が行われるのでしょうか。
一番の理由は、経営者が判断せずに情報システム部門とITベンダーに任せきりにしているからではないでしょうか。世間を賑わすセキュリティ事故などの影響から、経営者はとにかくセキュリティ対策に万全を期すことを求めます。要請を受けた情報システム部門とITベンダーは守りを第一に考える。その結果、効率を無視したがんじがらめのセキュリティ設計になるわけです。あれもこれもやろうとするからコストも膨らんでいく。これでは何のためのセキュリティなのかわかりません。
―― がんじがらめのセキュリティを脱するには、どうすべきですか。
経営者がリスクと効率のバランスをきちんと判断すること。「とにかく万全を期す」ではなく「何のために、何を守るのか」を明確にした上でセキュリティ設計を考えるべきです。
現場の業務や扱うデータの特性を踏まえて、守るべき優先順位を付け、それをセキュリティ担当者に伝える。方針さえわかれば、セキュリティ担当者はそれを具現化する手立てを知っています。
具現化する手立ての一つとしては、守るべき機密情報の特定とアクセスできる権限を明確化することが挙げられます。アクセス権限は必要最低限の人員にのみ与え、アクセスログを取得して分析すればリスク低減が可能です。
また、ITのメリットを損なわずにセキュリティレベルを高めるには、VDI(仮想デスクトップインフラ)が有効です。データやアプリケーションはサーバー側で集中管理するので、端末側にはデータが残りません。この仕組みがあれば、BYODもやりやすくなる。もし外出先でモバイル端末やスマートフォンを紛失・盗難しても、データが外部に漏えいするリスクが極めて低いからです。利便性を損なうことなく、情報の保護を徹底できます。
リスク管理に慎重になって、BYODを禁止している企業もありますが、個人の端末と業務用の端末を2台持ちする方が危険な面もある。勤務時間外に業務用の端末を紛失してしまった場合、そのことに気づきにくいからです。紛失したことに気づくのが遅れると、それだけリスクにさらされる時間が長くなる。ですが、24時間利用する個人の端末なら、紛失したらすぐに気づくはずです。遠隔ロックをかければ、なかのデータは守れるし、VDIの仕組みで運用していれば、業務データは端末側に残っていないので安心です。
現場の社員が使いやすい仕組みを目指そう
―― 守りの考え方を変えていく必要があるわけですね。
今のセキュリティはリスクの混入を防ぐことを重視しすぎて、仕事の効率を損なっている面もあることを認識すべきです。
社員に負担をかけるような認証の仕組みは改めたほうがいい。例えばパスワード管理に加え、生体認証を組み合わせたログイン認証を行えば、社員に負担をかけずにセキュリティを担保できるのではないでしょうか。
Webアクセスに関しても、利用を制限するより、アクセスログ管理を徹底する方がセキュリティ強化には有効です。利用に制限などかけず、社員には自由にネットを使わせていい。ただし、誰が・いつ・何にアクセスしたかはしっかりチェックする。ログを分析すれば、不審な動きをしたり、怪しいサイトにアクセスしたことはすぐにわかります。そこでアクセスをブロックしたり、ペナルティをかければ、リスクの拡大を防げます。ITの自由度も担保できるので仕事の効率も損なわずに済みます。
―― 組織として、経営者の判断をサポートしていくことも大切ですね。
もちろんです。その役目を担うのがCIOであり、情報システムの責任者です。彼らがシステム開発の段階から現場の社員を巻き込んで、社員の負担にならない「使いやすいセキュリティ設計」を考えていく。そうしないと、セキュリティが業務システムと“別物”になり、現場と乖離したものになってしまいます。
今後もITはさらに進化していきます。あらゆるモノをネットワークでつなぐIoT、予測や高度な分析を実現するAIなど、新たなテクノロジーも次々登場しています。これらを安全に活用するためには、セキュリティも高度化していく必要があります。
しかし、セキュリティを重視するあまり、仕事の効率や生産性を損なうのは本末転倒。「何を守るべきか」を経営者が判断した上で、必要性に応じて重すぎないセキュリティ考える。ITをビジネスの武器にして成長を図るためには、そういう取り組みが今後ますます重要になってくるでしょう。
―― 最後に、今後IT、モバイルの世界はどのように変わっていくとお考えですか。
今、ほとんどの人がモバイルデバイスを持っていますが、その使い方は目で見て、指先や音声で情報をインプット/アウトプットする形です。手や声でデバイスに情報をインプットしたり、デバイスから音や画像、動画などの情報を直接アウトプットしなければなりません。今のままでは、人が扱える情報量の増加は微々たるものでしょう。もっとたくさんの情報を効率よく扱えるようにするためには、デバイスと人の間にある「ラストワンフィート」の距離を埋める必要がある。
この状態を打破するという意味でも、今後30年以内には、電気信号を脳に直接送れるようになって、脳とインターネットが直接つながると考えています。いわゆるIoTの人間版ですね。
全人類の知能を超える究極のコンピューターが誕生する「シンギュラリティ(技術的特異点)」の到来が、今からほぼ30年後の2045年と言われています。脳に電気信号を直接送るなんて夢物語に思えますが、30年前に夢物語だったことが、今は次々と実現されています。技術進化のスピードも桁違いにアップしているので、あながち夢とは言い切れないのではないでしょうか。
そうすると、デバイスを介さずに情報を得ることができるので、私たち人間の価値というものも変わってきます。知識や情報はインターネットから瞬時に引き出せるので、暗記能力ではなく、二つの「そうぞうりょく」、つまり創造力と想像力が重要になってくる。未来社会は「人でなければできないこと」がより強く求められる時代になるでしょう。