2021年、テレワークのセキュリティはどうすべきか?ガートナー矢野氏に聞く
●
2020年は新型コロナウイルスの影響で、企業ではテレワークの導入が一気に進んだ。新型コロナウイルスが収束していない中、今年もテレワークの利用が継続することが見込まれる。テレワークの登場によって社外で働く社員が当たり前になり、企業が抱えるセキュリティのリスクは変わってきている。
こうした状況の下、2021年、企業が自社を守るには、どのようなセキュリティ対策を講じていくべきなのだろうか。今回、ガートナー ジャパン シニア プリンシパル, アナリスト/コンファレンス・チェアの矢野薫氏に、2021年のテレワークを中心としたセキュリティの在り方について聞いた。
ガートナー ジャパン シニア プリンシパル アナリスト 矢野薫氏
リモートワークの導入は二極化へ
矢野氏は、「2020年、コロナ禍で必要に迫られて、セキュリティを度外視してテレワークを導入していた企業もありました。しかし、2021年は、再びの発令された緊急事態宣言においても今回はセキュリティについてある程度落ち着いてテレワークへ移行できる企業と、昨年同様セキュリティについては“綱渡り”の状態で緊急事態宣言下のテレワークを乗り切る企業というかたちで、2極化するでしょう」と語った。
加えて、「ここ数年、セキュリティの多様化が進み、セキュリティの見通しが簡単には立てにくくなってきています。あわせて、近年はクラウドサービスなどIT利用の多様化とともに、働き方も多様化が進んでいます」と矢野氏は話す。
こうした中、セキュリティに重点を置いてこなかった企業では、従業員のセキュリティリテラシーの問題が浮かび上がってきているという。「企業の中には、従業員にセキュリティの在り方を教えることなく、ファイアウォールやウイルス対策製品などのITを活用して、従業員の見えないところでセキュリティ対策を実施してきた企業があります。そうした企業でテレワークが始まると、会社が突然セキュリティについてうるさく言いだしたように見え、従業員は不満を覚えるようになるのです」と、矢野氏は説明した。
しかし、あらかじめ従業員にセキュリティの教育を行っておけば、テレワークによってできないことが生じても、「うちの会社はセキュリティを大事にしているから仕方がない」と思ってもらえるそうだ。「これはセキュリティの技術にまつわる問題ではなく、文化の問題」と矢野氏はいう。
2021年は「Awareness」に注目が集まる
以前から、従業員のITリテラシーの向上はセキュリティ対策の重点として言われているが、矢野氏は「2021年は、Awarenessに注目が集まると思います。実際、当社にも問い合わせが増えています」と語る。
セキュリティにおけるAwarenessとは、ビジネス部門の従業員にいかにしてセキュリティについて伝えることを示している。
例えば、昨年はEmotetというメールを介して感染を拡大するマルウェアが猛威を振るい、被害を受けた企業もあっただろう。Emotetに対する注意を社内に呼びかける場合、矢野氏は「企業で、セキュリティの教育を行う際、マルウェアの仕組みから教えることがありますが、ビジネス部門の人たちのとってはEmotetという名前が重要なのではありません。知っている人からのメールであっても最近は悪質な仕掛けがされているかもしれないので、不審なことがあったらすぐに連絡するということが、しっかりと理解できていることのほうが重要です」とアドバイスする。
そうした上で、セキュリティ部門がテクノロジーを活用して企業のセキュリティを守っていることを周知することが大事だという。さもないと、ビジネス部門の人たちは自分たちだけがセキュリティポリシーに従うことで不便を強いられていると不満を持つそうだ。
●
セキュリティの本質に目が向けられるように
次に、矢野氏は2021年の新たな傾向として、「セキュリティを本当に理解しているかどうか、その真価が問われるようになる」と話した。
近年、サイバー攻撃が大規模になり、テレビや新聞でもセキュリティについて報じられる機会が増えた。国家レベルの犯罪集団による攻撃や億に上る情報が漏洩した攻撃など、もはや実世界の犯罪顔負けの被害となっている。こうした背景もあってか、セキュリティに興味を持ち、知識を蓄えている人たちも増えている。
しかし、矢野氏は「これまでの10年は、セキュリティを表層的にとらえた人の意見が通りやすい状況にありましたが、これからは自社のことを熟知していないと、セキュリティが語れなくなってくるでしょう」と話す。というのも、セキュリティの本質を理解していないと、セキュリティに関するプランを立てることができないからだという。
前述したように、2020年まで、企業のITやセキュリティは混沌としていたが、新型コロナウイルスによるパンデミックが発生したことで、クラウドやモバイルを使わざるをえなくなった。こうした流れを受けて、2021年は自社のITや働き方が見定まり、そのためのセキュリティ対策を講じていくことになるとのことだ。
「権限管理」と「データ取り扱いルール」の重要性が増大
テレワークが始まったことで、企業ユーザーは閉域網から飛び出ることとなり、エッジ、クラウド、モバイルといった新たな領域におけるセキュリティが必要となった。こうした状況について、矢野氏は「テレワークによって、企業が抱えるセキュリティのリスクの場所が変わります。これまで、リスクは企業の内側にありましたが、テレワークを行うことで、社外あるいは従業員のすぐそばにリスクが移ります」と指摘する。
矢野氏は「2021年は、権限管理とデータ取り扱いルールの在り方が変わっていくでしょう」と語る。テレワークの導入によって、企業ユーザーは働く場所が時として変わることになるが、セキュリティを担保するには、セキュリティをコンテキストで検証できるようにしなければならない。そのためにも、「いつ、どこで、だれが、何をした」かを明確にしておく必要がある。そのうえで、逸脱がわかった時は対処しなければならない。
「危険だからといって、すべてのデータを持ち出してはいけないとしてしまうと、仕事になりません。データをユーザーにわたすリスクをとってでも、企業競争力を維持するためであれば、対策を講じた上で実施すべきでしょう。ただし、データの持ち出しは画一的にしてはいけません」と矢野氏は説明した。
データを管理するとなると、「データの棚卸をして、自社のデータをすべて洗い出さなければならない」と考える人もいるかもしれない。しかし、矢野氏は「やみくもにデータの棚卸をしても手間と時間がかかるだけです」と語る。「データの整理は合理性を持ってやるべきです。例えば非定型データは社内に散在し機密度も様々ですが、定型データは相対的に機密度が高いことが多く、検出もしやすいといった特徴があります」と矢野氏。
データの保護にあたっては、狙われやすいデータはルールに従って制御していく一方で、ユーザー部門のほうでも、どういう理由でコピーやダウンロードができないようになっているのか、それぞれの制御の意味を理解できるかが実効性の上では鍵になってくる。アクセス権限に関しては、攻撃者に乗っ取られたら困る管理者権限やクラウドサービスのアクセス権限の保護を優先すべきと言える。
テレワークの導入によって、企業のセキュリティは新たな局面を迎えているが、矢野氏は「テクノロジーを活用すれば、セキュリティは守ることができる」と語る。コロナ禍においても企業活動を継続していかなければいけない今こそ、「リスクが高いからテレワークに手を出さない」のではなく、リスクを見極めて、正しいセキュリティ対策を講じ、テレワークを活用して、ビジネスを進めていかれてはいかがだろうか。
2020年は新型コロナウイルスの影響で、企業ではテレワークの導入が一気に進んだ。新型コロナウイルスが収束していない中、今年もテレワークの利用が継続することが見込まれる。テレワークの登場によって社外で働く社員が当たり前になり、企業が抱えるセキュリティのリスクは変わってきている。
こうした状況の下、2021年、企業が自社を守るには、どのようなセキュリティ対策を講じていくべきなのだろうか。今回、ガートナー ジャパン シニア プリンシパル, アナリスト/コンファレンス・チェアの矢野薫氏に、2021年のテレワークを中心としたセキュリティの在り方について聞いた。
リモートワークの導入は二極化へ
矢野氏は、「2020年、コロナ禍で必要に迫られて、セキュリティを度外視してテレワークを導入していた企業もありました。しかし、2021年は、再びの発令された緊急事態宣言においても今回はセキュリティについてある程度落ち着いてテレワークへ移行できる企業と、昨年同様セキュリティについては“綱渡り”の状態で緊急事態宣言下のテレワークを乗り切る企業というかたちで、2極化するでしょう」と語った。
加えて、「ここ数年、セキュリティの多様化が進み、セキュリティの見通しが簡単には立てにくくなってきています。あわせて、近年はクラウドサービスなどIT利用の多様化とともに、働き方も多様化が進んでいます」と矢野氏は話す。
こうした中、セキュリティに重点を置いてこなかった企業では、従業員のセキュリティリテラシーの問題が浮かび上がってきているという。「企業の中には、従業員にセキュリティの在り方を教えることなく、ファイアウォールやウイルス対策製品などのITを活用して、従業員の見えないところでセキュリティ対策を実施してきた企業があります。そうした企業でテレワークが始まると、会社が突然セキュリティについてうるさく言いだしたように見え、従業員は不満を覚えるようになるのです」と、矢野氏は説明した。
しかし、あらかじめ従業員にセキュリティの教育を行っておけば、テレワークによってできないことが生じても、「うちの会社はセキュリティを大事にしているから仕方がない」と思ってもらえるそうだ。「これはセキュリティの技術にまつわる問題ではなく、文化の問題」と矢野氏はいう。
2021年は「Awareness」に注目が集まる
以前から、従業員のITリテラシーの向上はセキュリティ対策の重点として言われているが、矢野氏は「2021年は、Awarenessに注目が集まると思います。実際、当社にも問い合わせが増えています」と語る。
セキュリティにおけるAwarenessとは、ビジネス部門の従業員にいかにしてセキュリティについて伝えることを示している。
例えば、昨年はEmotetというメールを介して感染を拡大するマルウェアが猛威を振るい、被害を受けた企業もあっただろう。Emotetに対する注意を社内に呼びかける場合、矢野氏は「企業で、セキュリティの教育を行う際、マルウェアの仕組みから教えることがありますが、ビジネス部門の人たちのとってはEmotetという名前が重要なのではありません。知っている人からのメールであっても最近は悪質な仕掛けがされているかもしれないので、不審なことがあったらすぐに連絡するということが、しっかりと理解できていることのほうが重要です」とアドバイスする。
そうした上で、セキュリティ部門がテクノロジーを活用して企業のセキュリティを守っていることを周知することが大事だという。さもないと、ビジネス部門の人たちは自分たちだけがセキュリティポリシーに従うことで不便を強いられていると不満を持つそうだ。
●
セキュリティの本質に目が向けられるように
次に、矢野氏は2021年の新たな傾向として、「セキュリティを本当に理解しているかどうか、その真価が問われるようになる」と話した。
近年、サイバー攻撃が大規模になり、テレビや新聞でもセキュリティについて報じられる機会が増えた。国家レベルの犯罪集団による攻撃や億に上る情報が漏洩した攻撃など、もはや実世界の犯罪顔負けの被害となっている。こうした背景もあってか、セキュリティに興味を持ち、知識を蓄えている人たちも増えている。
しかし、矢野氏は「これまでの10年は、セキュリティを表層的にとらえた人の意見が通りやすい状況にありましたが、これからは自社のことを熟知していないと、セキュリティが語れなくなってくるでしょう」と話す。というのも、セキュリティの本質を理解していないと、セキュリティに関するプランを立てることができないからだという。
前述したように、2020年まで、企業のITやセキュリティは混沌としていたが、新型コロナウイルスによるパンデミックが発生したことで、クラウドやモバイルを使わざるをえなくなった。こうした流れを受けて、2021年は自社のITや働き方が見定まり、そのためのセキュリティ対策を講じていくことになるとのことだ。
「権限管理」と「データ取り扱いルール」の重要性が増大
テレワークが始まったことで、企業ユーザーは閉域網から飛び出ることとなり、エッジ、クラウド、モバイルといった新たな領域におけるセキュリティが必要となった。こうした状況について、矢野氏は「テレワークによって、企業が抱えるセキュリティのリスクの場所が変わります。これまで、リスクは企業の内側にありましたが、テレワークを行うことで、社外あるいは従業員のすぐそばにリスクが移ります」と指摘する。
矢野氏は「2021年は、権限管理とデータ取り扱いルールの在り方が変わっていくでしょう」と語る。テレワークの導入によって、企業ユーザーは働く場所が時として変わることになるが、セキュリティを担保するには、セキュリティをコンテキストで検証できるようにしなければならない。そのためにも、「いつ、どこで、だれが、何をした」かを明確にしておく必要がある。そのうえで、逸脱がわかった時は対処しなければならない。
「危険だからといって、すべてのデータを持ち出してはいけないとしてしまうと、仕事になりません。データをユーザーにわたすリスクをとってでも、企業競争力を維持するためであれば、対策を講じた上で実施すべきでしょう。ただし、データの持ち出しは画一的にしてはいけません」と矢野氏は説明した。
データを管理するとなると、「データの棚卸をして、自社のデータをすべて洗い出さなければならない」と考える人もいるかもしれない。しかし、矢野氏は「やみくもにデータの棚卸をしても手間と時間がかかるだけです」と語る。「データの整理は合理性を持ってやるべきです。例えば非定型データは社内に散在し機密度も様々ですが、定型データは相対的に機密度が高いことが多く、検出もしやすいといった特徴があります」と矢野氏。
データの保護にあたっては、狙われやすいデータはルールに従って制御していく一方で、ユーザー部門のほうでも、どういう理由でコピーやダウンロードができないようになっているのか、それぞれの制御の意味を理解できるかが実効性の上では鍵になってくる。アクセス権限に関しては、攻撃者に乗っ取られたら困る管理者権限やクラウドサービスのアクセス権限の保護を優先すべきと言える。
テレワークの導入によって、企業のセキュリティは新たな局面を迎えているが、矢野氏は「テクノロジーを活用すれば、セキュリティは守ることができる」と語る。コロナ禍においても企業活動を継続していかなければいけない今こそ、「リスクが高いからテレワークに手を出さない」のではなく、リスクを見極めて、正しいセキュリティ対策を講じ、テレワークを活用して、ビジネスを進めていかれてはいかがだろうか。
