[調査・レポート]

「禁止」するセキュリティから「許可」へ、セキュリティ強度の調整へ―ガートナー

2019年7月29日(月)日川 佳三(IT Leaders編集部)

従来のワークプレース(労働環境)から、デジタル技術を活用して働きやすさを向上させた「デジタルワークプレース」(デジタル時代の労働環境)へとワークプレースが変わりつつある。ガートナージャパンは2019年7月29日、デジタルワークプレースに求められるセキュリティ対策を4つ挙げた。例えば、セキュリティのルールは「禁止」から「許可」へと変わる。アンケート調査結果を基に、ガートナーが見解を出した形である。

 2019年2月に国内企業を対象に実施したユーザー調査の結果、全体の52.2%が、デジタルワークプレースのセキュリティ対策に何が必要かを把握できていなかった。内訳は、「どのようなセキュリティ対策が必要なのか分からない」と答えた企業が42.3%で、「十分なセキュリティが確保できないため採用を進められない」と答えた企業が9.9%である(図1)。

図1:日本におけるデジタルワークプレースのセキュリティの状況(出典:ガートナージャパン)図1:日本におけるデジタルワークプレースのセキュリティの状況(出典:ガートナージャパン)
拡大画像表示

 ガートナージャパンでは、デジタルワークプレースのセキュリティにおいては、以下の4つの点から対策を進めていく必要があるとしている。

  1. セキュリティの方向性:「ゼロ」 or 「諦める」から「許容範囲を小さくする」に
  2. セキュリティの前提:「XXない」前提から「〇〇できる」前提に
  3. セキュリティのルール:「禁止」から「許可」に
  4. セキュリティのツール:「最初の設定のまま放置」から「ツールで『見続ける』、ツールを『使い続ける』」に

 (1)従来のセキュリティの考え方は、不安を払拭するためにセキュリティを強化するか、利便性を重視してセキュリティを諦める、というものだった。これを、不安への対応ではなく、「リスク」への対応として、できる限りリスクを小さくするというアプローチに変える。「セキュリティのリスクをどのようにすれば小さくできるか」という観点に立ってセキュリティ対策の議論を進める。

 (2)従来のワークプレースの前提は、「持ち出さない、接続しない、アクセスしない」ことである。働き方の自由度や柔軟性を制限している。これに対してデジタルワークプレースの前提は「外でも使う、ネットワークにつながる、いつでもどこでも見られる/触れる」ことである。従来のルールを無理やり適用するのではなく、新しい環境を前提とした新しいセキュリティのルールを策定する。

 (3)従来のセキュリティルールの特徴の1つは「禁止」するセキュリティである。一方、デジタルワークプレースのセキュリティは、ユーザーが自由かつ柔軟に働けるよう「許可」することからスタートする。従来のセキュリティルールのもう1つの特徴は、一度決めたルールを使い続けていることである。デジタルワークプレースのセキュリティにおいては、ユーザーの利用状況やセキュリティ上の脅威の変化に応じてルールを変更し、最適なセキュリティ強度に調整していくという新たなアプローチが必要になる。

 (4)従来のワークプレースのセキュリティで用いるツールは、防御を主体としたものが多い。一度設定したらそのまま「放置」しておくこともできる。デジタルワークプレースのセキュリティでは、ユーザーの利用を許可し、利用状況を見続け、必要に応じてセキュリティ設定を変更する運用が求められる。活用するツールも、利便性の確保、セキュリティの確保、継続的なモニタリングの実施、という3つの機能をカバーできるものが求められる。

関連記事

Special

-PR-

「禁止」するセキュリティから「許可」へ、セキュリティ強度の調整へ―ガートナー従来のワークプレース(労働環境)から、デジタル技術を活用して働きやすさを向上させた「デジタルワークプレース」(デジタル時代の労働環境)へとワークプレースが変わりつつある。ガートナージャパンは2019年7月29日、デジタルワークプレースに求められるセキュリティ対策を4つ挙げた。例えば、セキュリティのルールは「禁止」から「許可」へと変わる。アンケート調査結果を基に、ガートナーが見解を出した形である。

PAGE TOP