ガートナー ジャパン、国内企業におけるデジタル・ワークプレースのセキュリティ対策の状況に関する調査結果を発表
- 2019/08/01 10:00
- SecurityInsight
ガートナー ジャパンは7月29日、国内企業におけるデジタル・ワークプレースのセキュリティ対策の状況に関する調査結果を発表した。その概要は以下のとおり。
ガートナーが2019年2月に国内企業を対象に実施したユーザー調査の結果、全体の52.2%が、デジタル・ワークプレースのセキュリティ対策に何が必要かをいまだ把握できていないという現状が明らかになった。「どのようなセキュリティ対策が必要なのか分からない」と答えた企業は42.3%で、「十分なセキュリティが確保できないため採用を進められない」と答えた企業も9.9%存在した。
セキュリティと利便性のジレンマを解消するために、デジタル・ワークプレースのセキュリティにおいては、以下の4つの点から対策を進めていく必要がある。
1.セキュリティの方向性:「ゼロ」or「諦める」から「許容範囲を小さくする」に
従来のセキュリティの考え方は、不安を払拭するためにセキュリティを強化するか、利便性を重視してセキュリティを諦めるというものだった。デジタル・ワークプレースでは、不安への対応ではなく、「リスク」への対応として、できる限りリスクを小さくして、自社が許容できる範囲の「枠」の中に収める、という考えに基づき、「セキュリティのリスクをどのようにすれば小さくできるか」という観点から、セキュリティ対策の議論を進めることが必要となる。
2.セキュリティの前提:「XXない」前提から「〇〇できる」前提に
従来のワークプレースは「持ち出さない、接続しない、アクセスしない」という前提の上にあり、そもそも働き方の自由度や柔軟性が制限されている。それに対してデジタル・ワークプレースでは、「外でも使う、ネットワークにつながる、いつでもどこでも見られる/触れる」ことが前提となる。セキュリティのリーダーは、従来のルールを無理やり適用するのではなく、デジタル・ワークプレースという新しい環境を前提とした新しいセキュリティのルールを策定すべき。
3.セキュリティのルール:「禁止」から「許可」に
従来のセキュリティ・ルールの特徴の一つは「禁止」するセキュリティ。一方、デジタル・ワークプレースのセキュリティは、ユーザーが自由かつ柔軟に働けるよう「許可」することからスタートする。従来のセキュリティ・ルールのもう一つの特徴は、一度決めたルールをそのまま使い続けているという点。しかし、デジタル化が進むことで、セキュリティのリスクだけでなくユーザーの利用状況も刻々と変化する。よってデジタル・ワークプレースのセキュリティにおいては、ユーザーの利用状況やセキュリティ上の脅威の変化に応じてルールを変更し、最適なセキュリティ強度に調整していくという新たなアプローチが必要となる。
4.セキュリティのツール:「最初の設定のまま放置」から「ツールで『見続ける』、ツールを『使い続ける』」に
従来のワークプレースのセキュリティで用いられるツールは防御を主体としたものが多く、一度設定したらその後は機能し続けることから、ある意味そのまま「放置」しておくこともできる。デジタル・ワークプレースのセキュリティでは、ユーザーの利用を許可し、利用状況を見続け、必要に応じてセキュリティ設定を変更する運用が求められる。活用するツールも、利便性の確保、セキュリティの確保、継続的なモニタリングの実施、という3つの機能をカバーできるものが求められる。