ガートナーのアナリストでシニア プリンシパルの矢野 薫は次のように述べています。
「デジタル・ワークプレースのセキュリティを検討する企業の多くは、セキュリティとユーザーの利便性の問題に直面しています。これは長年にわたりセキュリティの担当者を悩ませてきた課題であり、以前よりジレンマとして存在していたものです。従来のワークプレースは、そもそも自由度や柔軟性に限りがある中で働くことが前提であったため、セキュリティと利便性のバランスが取れていなくても、必要なセキュリティ・レベルを保つことが優先されてきました。一方、デジタル・ワークプレースが目指すものは、自由に、そして柔軟に働く環境の構築です。そのため、セキュリティの強化により業務の効率が下がったり、従業員の行動が制限されたりすることは、デジタル・ワークプレースの目的に反します。また、今までにない新たなテクノロジを活用して利便性を確保しようとすると、十分なセキュリティを確保できなくなり、その結果、新しい環境のセキュリティのリスクに耐えることができなくなります。デジタル・ワークプレースにおいては、セキュリティと利便性のバランスが取れないことを言い訳にできないという点が、今までのセキュリティの取り組みにはない大きな特徴なのです」
セキュリティと利便性のジレンマを解消するために、デジタル・ワークプレースのセキュリティにおいては、以下の4つの点から対策を進めていく必要があります。
1. セキュリティの方向性:「ゼロ」 or 「諦める」から「許容範囲を小さくする」に
従来のセキュリティの考え方は、不安を払拭するためにセキュリティを強化するか、利便性を重視してセキュリティを諦めるというものでした。デジタル・ワークプレースでは、不安への対応ではなく、「リスク」への対応として、できる限りリスクを小さくして、自社が許容できる範囲の「枠」の中に収める、という考えに基づき、「セキュリティのリスクをどのようにすれば小さくできるか」という観点から、セキュリティ対策の議論を進めることが必要となります。
2. セキュリティの前提:「XXない」前提から「〇〇できる」前提に
従来のワークプレースは「持ち出さない、接続しない、アクセスしない」という前提の上にあり、そもそも働き方の自由度や柔軟性が制限されています。それに対して、デジタル・ワークプレースでは、「外でも使う、ネットワークにつながる、いつでもどこでも見られる/触れる」ことが前提となります。セキュリティのリーダーは、従来のルールを無理やり適用するのではなく、デジタル・ワークプレースという新しい環境を前提とした新しいセキュリティのルールを策定すべきです。
3. セキュリティのルール:「禁止」から「許可」に
従来のセキュリティ・ルールの特徴の1つは、「禁止」するセキュリティです。一方、デジタル・ワークプレースのセキュリティは、ユーザーが自由かつ柔軟に働けるよう「許可」することからスタートします。従来のセキュリティ・ルールのもう1つの特徴は、一度決めたルールをそのまま使い続けているという点です。しかし、デジタル化が進むことで、セキュリティのリスクだけでなくユーザーの利用状況も刻々と変化します。よってデジタル・ワークプレースのセキュリティにおいては、ユーザーの利用状況やセキュリティ上の脅威の変化に応じてルールを変更し、最適なセキュリティ強度に調整していくという新たなアプローチが必要となります。
4. セキュリティのツール:「最初の設定のまま放置」から「ツールで『見続ける』、ツールを『使い続ける』」に
従来のワークプレースのセキュリティで用いられるツールは防御を主体としたものが多く、一度設定したらその後は機能し続けることから、ある意味そのまま「放置」しておくこともできます。デジタル・ワークプレースのセキュリティでは、ユーザーの利用を許可し、利用状況を見続け、必要に応じてセキュリティ設定を変更する運用が求められます。よって、活用するツールも、利便性の確保、セキュリティの確保、継続的なモニタリングの実施、という3つの機能をカバーできるものが求められます。
前出の矢野は次のように述べています。「長年にわたりセキュリティの担当者を悩ませてきたセキュリティと利便性の問題は、二者択一でもなければ、言い訳にできるものでもありません。これは、『許可する』セキュリティから始めることで、解決可能な課題としてリアリティをもって取り組むことができる活動なのです」
ガートナーは来る8月5~7日、ANAインターコンチネンタルホテル東京 (東京都港区) において「ガートナー セキュリティ&リスク・マネジメント サミット 2019」を開催します。本サミットでは、「新たな時代の幕開け~セキュリティのファンダメンタルを確立せよ~」をテーマに、新たな時代に向けて、セキュリティ/リスク・マネジメントのリーダーがどのようにリーダーシップを発揮し、何をすべきなのかについて、実践的な提言を行います。本プレスリリースに関連した内容は、前出の矢野が「デジタル・ワークプレースのセキュリティ:これからのセキュリティのために何が必要なのか」(8月5日 15:05~15:50、13A) で解説します。
ニュースや最新情報は、ガートナーのTwitterでもご覧いただけます。
ガートナーのサービスをご利用のお客様は、ガートナー・レポート「セキュリティと利便性のバランスに挑む (デジタル・ワークプレースのセキュリティ:全体編)」(INF-19-103) にて、詳細をご覧いただけます。デジタル・ワークプレースのセキュリティについては、関連するハイプ・サイクルとして「日本におけるセキュリティ (デジタル・ワークプレース) のハイプ・サイクル:2019年」(INF-19-94) を発行しています。
調査手法
本調査は、国内のIT部門、特にセキュリティに関わるマネージャー向けのアンケートを通して、日本における企業・組織のさまざまなセキュリティのニーズや課題を分析することを目的に実施したものです。有効回答数は515件で、日本全国の従業員数500人以上の企業を対象にしています。回答者は、セキュリティ領域における製品、ソリューション、サービスの導入や選定に際して決裁権がある、または関与している役職、もしくはセキュリティ戦略に関与している役職を想定しています。