営業担当者が顧客のウェブサイトにアクセスしようとしたら、「会社のホワイトリストに登録されていないためブロックされています」というメッセージが表示されたらどうでしょう。あるいは、プログラマーがコード作成に使うEclipse開発ソフトウェアの最新バージョンをインストールしようとしたら、コンピューター(そしてIT部門)がそれを許可してくれない、といった状況も考えてみてください。どの企業もサイバーセキュリティを懸念していますが、セキュリティを過剰に強化しすぎるという問題もあります。
しかし、従業員にある程度テクノロジーの自由(ソフトウェアのインストール、アプリのダウンロード、別のウェブブラウザの選択など)を与えることは、生産性に悪影響を及ぼす可能性があります。厳格なセキュリティポリシーは、デジタルディスラプションの現状に反し、競争が激化する環境において企業のイノベーション能力を阻害する可能性があると主張する人もいます。
問題は、いつでもどこでも IT を利用できるという特権を得た従業員が、職場で自分のノートパソコンやその他の個人用デバイスを使用したり、仕事が楽になると思われるソフトウェアをダウンロードしたりしようとするときに発生します。
ユーザーの選択肢をどの程度制限するかはITチーム次第です。組織のセキュリティ確保は最優先事項であり、サイバー攻撃の頻度と複雑さが増す中で、IT部門があらゆるものをロックダウンしたいという強い衝動に駆られるのも無理はありません。
例えば、ここ数年、注目を集めたランサムウェア攻撃がニュースの見出しを飾ってきました。しかし現在では、マルウェア開発者がセキュリティ回避策を強化しているため、ファイルレス攻撃の増加がランサムウェア攻撃を追い越しつつあります。一方、アナリスト企業ガートナーは、2021年までにIoT(モノのインターネット)エンドポイントが251億台設置されると予測しており、企業ネットワークに接続されるあらゆるデバイスのセキュリティ確保に対するIT部門へのプレッシャーが高まっています。
IT部門が問題視しているのは、組織内でこのようなセキュリティ侵害が発生する原因が従業員にあることが多いことです。実際、Shred-itの2018年版「 業界の現状:情報セキュリティ」 レポートによると、経営幹部の84%と中小企業経営者の51%が、従業員の過失が米国企業にとって最大の情報セキュリティリスクの一つであると考えています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
そのため、IT部門と従業員間の対立の最大の原因の一つは、職場での使用を目的とした未承認アプリのダウンロードです。A10 Networksのレポートによると、従業員のほぼ3分の1(30%)が、職場または会社所有のデバイスで、承認されていないアプリを故意に使用していると回答しています。しかし、未承認アプリをダウンロードしている人の3分の1は、業務に必要なアプリへのアクセスを許可してくれないことが多いIT部門によって、ダウンロードを強制されていると主張しています。
「もし、リスクがゼロになるほどテクノロジーを制限したら、誰もそれを使用しなくなるだろう」と、インサイトのコネクト・ワークフォース事業を率いるデビッド・メイヤー氏はトムズ・ハードウェアに語った。
バランスをとる
セキュリティの専門家は、組織のセキュリティ体制は従業員の生産性や幸福とバランスをとるべきだという点で一致しています。
「従業員が望む働き方やツールの利用を許可すると、本来安全な環境に甚大なリスクが生じます。しかし、それを許さないと、従業員の生産性が損なわれる可能性があります」と、ノースカロライナ州ローリーに拠点を置くマネージドセキュリティサービスプロバイダー(MSSP)The TekのCEO、ジョーイ・コスタ氏はTom's Hardwareに語っています。
コスタ氏によると、この問題を回避するには、企業がセキュリティプログラムをユーザーエクスペリエンスを中心に据えることです。彼は、「ユーザーと協力して、彼らがどのように働きたいか、どのようなアプリケーションやオペレーティングシステムを使いたいかを理解し、セキュリティプログラムを有効化と拡張性を考慮して設計することで、従業員の生産性と満足度を高めつつ、全体的なリスクレベルを低く抑えることが重要です」とアドバイスしています。
ロサンゼルス、ボストン、マイアミにデータセンターを持つ Hyve Managed Hosting のディレクター、ジェイク・マダーズ氏も、IT 責任者はバランスを取るよう努めるべきだという考えに同意している。
「企業は、テクノロジーを含め、あらゆる意味で従業員のエンパワーメントを図るべきです。ユーザーがソフトウェアに大幅な変更を加えることを禁止するのは良いことですが、例えば別のウェブブラウザを選ぶといった単純な変更を従業員に制限することは、従業員を贔屓目にさせ、最終的にはモチベーションを低下させるリスクがあります」と彼はTom's Hardware誌に語っています。「インターネットは、新しいアプリケーションを通して時間を節約し、効率を高めるための新しい創造的な方法を発見するための優れたツールになり得ます。ですから、従業員にそうする自由を与えることが、社内ビジネスを発展させる鍵となるのです。」
マダーズ氏は、従業員が知らないうちに会社の防御力を弱めないようにするためには、トレーニングが鍵となると考えています。
「ここで重要なのは教育です。チームメンバーにセキュリティを維持する方法と、会社のセキュリティポリシーの内容と実施方法を教えることです」と彼は言います。「結局のところ、適切なセキュリティは根本から構築されるものであり、その根底にある脆弱性、つまり多くの場合、ユーザー自身にあると言える脆弱性から始まるのです。」
独立系業界アナリストの Rob Bamforth 氏は、ほとんどのセキュリティ チェーンの脆弱な部分は従業員自身であるという点で IT 部門の意見に同意していますが、従業員に適切なセキュリティ プラクティスを理解させるには、上層部から始める必要があると述べています。
「セキュリティプログラムと手順を従業員に理解させ、賛同させ、全面的に支持してもらうことが重要です。とはいえ、セキュリティに関する意思決定者からの命令が、ビジネスニーズと相容れないように思えても、それは役に立ちません」と彼はTom's Hardwareに語った。
優秀なCISOはこれを理解しています。セキュリティはビジネスとユーザーと密接に連携して取り組む必要があります。セキュリティリスクと脆弱性は、ビジネスにどのような影響を与えるのかを、ビジネスの観点から全員が理解する必要があります。幅広い理解は、組織の理解を促し、ビジネスに適切で、ユーザーにとって負担が少なく、十分な保護を提供する実用的なセキュリティ体制を組織が構築するのに役立ちます。
興味深いことに、Shred-it のレポートでは、北米の企業のほとんどが、従業員による企業データの保護努力に自信を持っていると述べているものの、そのほとんどは従業員に対して情報セキュリティ手順に関する定期的なトレーニングを提供していないと指摘しています。
「皮肉なことに、多くの企業は依然としてデータセキュリティの責任を従業員に負わせている」と報告書は述べている。
リスクの制限
Insight のメイヤー氏は、今日では組織が過度に厳しいセキュリティ ポリシーを課す理由はないと述べているが、時には「それが安易な解決策になる」こともあると認めている。
結局のところ、企業が採用すべき最善のセキュリティ体制は、ユーザーを制限することではなく、リスクを制限することです。
「(許可されていない)アプリケーションが企業ネットワークに侵入することさえなく、ユーザーのマシン上にのみ存在するようにする管理技術があります。例えば、クラウドアクセスセキュリティブローカー(CASB)ソリューションを使えば、職場で特定のサイトへのアクセスをブロックできます」と彼は述べ、最終的にはバランスの問題だと付け加えました。
「リスクプロファイルのバランスを取っているところです。どの程度のリスクなら許容できるでしょうか? 100%安全な柔軟なシステムを作ることは不可能です。しかし、97%のセキュリティを実現でき、さらに残りの3%を管理・追跡できるのであれば、それは許容できるリスクプロファイルと言えるかもしれません。」
答えは、IT部門がユーザーの活動や行動を過度に制限しすぎると感じないバランスを見つけることにあります。そうすると、最終的には従業員の不満を招き、組織としての成長を阻害する可能性があります。セキュリティ専門家は、組織へのリスクを考慮しつつ、従業員のニーズや現代の職場への期待に柔軟に対応する必要があります。
