未来の職場では、セキュリティより人間的アプローチが必須に

※この投稿は米国時間 2022 年 1 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

過去 2 年間で、企業はリモートワークやハイブリッドな勤務形態モデルを導入しましたが、そのほとんどは大きな圧力を受けた結果でした。極めて切迫した状況で重要な要因となったのはタイミングでした。現在では、企業がこうした変化に慣れるなか、多くのリーダーがより積極的にチームの働き方を見直し、会社と従業員の双方にとって長期的に何が最善かという視点から、新しい戦略やポリシーを策定しています。

特に、データの整合性とセキュリティの分野では、そうした動きが盛んです。

Google と Economist Impact が共同で実施したアンケートでは、回答者の 75% 以上が「今後 3 年以内にハイブリッドな勤務形態やフレックス ワークが標準的な働き方になる」と回答しています。フレックス ワークに由来するセキュリティ上の課題は決して新しいものではありませんが、過去 1 年半の間に、大規模な脆弱性の問題が多数明るみに出ることとなりました。

データ セキュリティが新たな時代に突入し、ビジネス リーダーはこれまでの職場の常識を捨て去る必要に迫られています。もはや職場は物理的な空間ではなく、さまざまな業務の完了を目的として相互に関係し合う複数のポリシーの連なりであるといえます。仕事をする場所が自宅や会社、あるいは複数拠点であっても、それは以前ほど重要ではなくなっています。

こうした状況を考えると、セキュリティには新しいアプローチで臨む必要があります。今では、セキュリティで必要なのは、情報を保護し、情報へのアクセス方法を制限することだけではありません。シームレスな共同作業と情報共有を可能にする、安全かつ効率的で、効果の高い方法を構築することも重要になっています。

たとえば、従業員が個人所有のノートパソコンを仕事に使用する例が挙げられます。社外で業務を遂行するために必要なハードウェアやデバイスがビジネス リーダーから支給されなければ、従業員の多くは個人所有デバイスを使用して業務に関連するタスクを行うでしょう。こうした個人所有デバイスは、社内にあるデバイスと同じセキュリティ保護機能を備えていない場合があります。管理された社内環境で全従業員が業務を行う場合に比べ、個人所有デバイスを使用すると、機密データの損失、漏洩、盗難が起こる可能性ははるかに高くなります。

逆に、従業員が会社から支給されたノートパソコンを個人の Wi-Fi ネットワークで使用すれば、同様の危険にさらされます。2021 年に Entrust が実施したアンケートでは、ビジネス リーダーの 20% が「会社のセキュリティ上の課題の中で最も深刻なのは機密データの漏洩である」と回答しています。また、同アンケートで、ビジネス リーダーの 21% が「管理されていないホーム ネットワークによるセキュリティ リスクを懸念している」と回答しています。

では、ビジネス リーダーはセキュリティ問題にどのように対処すべきでしょうか。

クラウドベースのセキュリティ

オンプレミスのビジネス システムは高度に管理された環境に依存していますが、これは多くの場合、社内のネットワーク セキュリティやバーチャル プライベート ネットワーク（VPN）によって実現されています。一方、クラウドベースのプラットフォームでは、物理的な場所に関係なく、データ共有や共同作業が容易に行えます。クラウドベースのプログラムに情報を移行するメリットは数多くありますが、いつでもどこからでもアクセスできるということが特に重要です。また、最近では、ビジネス クリティカルなプログラムとアプリのほとんどに Chrome などのブラウザ経由でアクセスできるため、従業員がデバイス ドライバを追加しなくても、業務を効果的に遂行するうえで必要な情報にアクセスできるようになりました。

ゼロトラスト ポリシー

ゼロトラスト モデルでは、個々のユーザーを重視し、VPN テクノロジーは必要ありません。そのため、ユーザーがいる場所や使用しているデバイスに関係なくアクセス制御を適用できます。ユーザーまたはデバイスがネットワークやネットワーク リソースにアクセスする際に承認を必須にすることで、ファイル共有、アプリケーションのダウンロード、データ使用のセキュリティを高めることができます。また、個人所有デバイスを使用する従業員にゼロトラスト ポリシーを適用することで、善良な従業員が意図せずにセキュリティ侵害を引き起こしてしまう恐れを軽減できます。

安全性を重視した設計

会社側としては、共同作業の障害になるものは作りたくありませんが、機密情報にアクセスするためのチェック項目や権限をやたらと要求すれば、障害は簡単に生まれてしまいます。しかし、安全性を重視した設計のツールなら、従業員は共同作業をシームレスに行うことができます。リスクを完全に回避するのではなく、セキュリティ リスクのガバナンスをモニタリングし管理することで、従業員同士の連絡を取りやすくし、より協力的で革新的な企業文化を醸成できます。

これから述べる包括的なアプローチを適切に実施すれば、セキュリティを最優先にしつつ、システムを従業員に事実上見えなくすることが可能です。エンドユーザーのアクティビティが安全でない可能性があることを本人に通知することはときどきありますが、すべての動作はユーザーから見えないところで発生します。

セキュリティ文化の構築

安全なインフラストラクチャに加え、セキュリティを最優先に考える企業文化を作り出すことが、分散した従業員間のリスクを最小限に抑えるために役立ちます。しかし、セキュリティ ポリシーとプライバシー ポリシーは、常に最新の状態に更新しておかなければその力を発揮しません。2020 年のある報告書では、自社のセキュリティ プロトコルを 1 年以上更新していないと答えた組織が 25% 近くあると述べられています。ポリシーとプロトコルを更新するタイミングは、ビジネス リーダーが従業員の現状を知るよい機会です。これによって、信頼関係のある文化だけでなく、包括的なセキュリティの文化も構築されます。

リーダーが自社にセキュリティ重視の文化を定着させるための方法の一つが、IT のリーダーと協力してベスト プラクティスを手に入れ、それを実現可能な作業単位で共有することです。さらに、従業員のためのセキュリティ トレーニングを用意し、質問が出たときに回答するための専用の「オフィスアワー」を確保することも、セキュリティ重視の文化へのアプローチとなります。

従業員のパートナーシップ

重要なのは視点です。組織は従業員を潜在的な法的責任が発生する存在として見るのではなく、パートナーであり防御ラインとして捉えることができます。もちろん、人の働き方や機密情報へのアクセス方法がいつでも完全に安全なわけではありません。しかし、従業員が本質的に信頼されていることを本人に知らせることで、生産性と従業員の業務環境が向上します。ニュースや音楽、メールといったものへの従業員のアクセスを組織がブロックしてしまうと、精神的な緊張が生まれる可能性があります。最適なアプローチは、すべてのクリックやダウンロードをモニタリングすることではなく、問題が発生した場合に効率的な対処を可能にするチェック項目と権限を作ることです。

今後の展望

ハイブリッドな勤務形態への移行により、ビジネス リーダーは自身の習慣を見直し、新しいセキュリティ ソリューションを採用せざるを得なくなります。また、このワークモデルは今後も変わらないため、包括的な方法で潜在的なリスクに対処することが重要です。従業員中心のアプローチを取ることで、今日の複雑な脅威の状況を確信を持って乗り切り、優れた成果を出すことが可能になります。

組織を守る方法についての詳細をご覧ください。