人材不足に悩む日本の企業にとって、今や働き方改革は喫緊の課題と言えるだろう。柔軟な働き方を実現していく中、具体的な施策として「リモートワーク」「テレワーク」が出てくる。そして、これらを実際に導入するとなると、制度やシステムなど、さまざまな側面で変更が必要となってくる。

システム面で気になるのがセキュリティではないだろうか。リモートワークやテレワークを導入するとなると、紛失のリスクを抱えるモバイルPCやスマートフォンを活用して業務を遂行できる環境を整備する必要が生じ、不正侵入や情報漏洩のリスクが高まることが予想される。

では、働き方改革を推進する上で、どのようなセキュリティ対策が求められるのだろうか。ガートナー ジャパン リサーチ&アドバイザリ部門 ITインフラストラクチャ&セキュリティ セキュリティ担当 シニア プリンシパル アナリストの矢野薫氏に、「働き方改革とセキュリティ」について、話を伺った。

  • ガートナー ジャパン リサーチ&アドバイザリ部門 ITインフラストラクチャ&セキュリティ セキュリティ担当 シニア プリンシパル アナリスト 矢野薫氏

まずは、浮足立つことなく、現状の見極めを

2020年が明けてまだ2カ月しか経っていないが、誰もが知る大手企業による情報漏洩が相次いでいる。日本の企業にとって、情報漏洩は他人事ではない。

したがって、「働き方改革を進めなければならないけれど、セキュリティはどうしたらいいのか」と、焦っている企業もあるだろう。ITベンダーも「働き方改革に役立つ」というキャッチコピーで、製品の販促を図ろうとする動きが目立つ。

そんな状況に対し、矢野氏は「働き方改革といえど、セキュリティの本質は変わりません。ITベンダーもユーザー企業もまずは落ち着いて考えるべき」と話す。

例えば、テレワークを導入するといっても、東京五輪の期間だけ導入するのか、恒久的に導入するのか、企業によって異なるはずだ。さらに、対象の社員も、全社員なのか、営業職やエンジニアなど一部なのかなど、企業によって違うだろう。

矢野氏は、「働き方改革として、どんな施策を誰に提供するのか、業種や規模によって異なってきます。ここで、必要になるのは、働き方改革によって何がどのくらい危なくなるのかを把握すること、そして、それをIT部門だけでなく人事や総務など働き方改革に関わる部門全部で合意することです」と指摘する。

注目すべきは「リスクが想定しづらいこと」

実のところ、リスクがわからないまま対策を進めたとしても、セキュリティと利便性の両面でひずみが生じるだけで、何にもならない。

ただし、矢野氏は「リスクを分析するという点では、働き方改革ならではの困難があるかもしれません」と話す。何が、困難なのだろうか。

「従来のセキュリティは、主に攻撃側の変化に対処することがメインであり、それについてはこれまでの傾向や他社の事例や世の中のベストプラクティスからもってくることが容易でした。しかし、働き方改革においては、防御する側である企業の変化が前提となります。また企業は、働き方改革を進める上で、デジタルワークプレースという課題に直面しています。今、企業が推進しようとしているデジタル化において、何をどのくらい進めようとしているのか、見えていないことも多いです。つまり、デジタル化においては、デジタル化による変化でセキュリティがどのくらい変わるのか、すなわちセキュリティのリスクがわかりにくいのです」(矢野氏)

適切な対策実施のカギは「継続的な可視化」

では、従来とは異なり、想定しづらいリスクをとらえるには、どうしたらよいのだろうか。

矢野氏は、継続的な可視化が重要と語る。常に状態の可視化を行い、その結果からリスクを分析して、対応していく。最近、セキュリティ業界では、企業のネットワークを可視化するツールやサービスがトレンドの1つとなっているので、それらを利用するのも手だ。

なお、「可視化に関するツールやサービスを提供するベンダーが増えていますが、可視化を何のために行うのか、可視化を行った後にどうすべきかが説明されていないので、可視化の重要性があまり理解されていません」と、矢野氏は話す。

さらに、リスク分析を円滑に進める上で大切なのはリーダーシップだという。これまで、ITインフラ領域でセキュリティを対処することがメインだったので、エンドポイント、ネットワーク、マルウェアなど、セキュリティに関わる責任はセキュリティ部門が担っていた。しかし、「働き方改革の主役はユーザーです。したがって、働き方改革に伴うリスクは、セキュリティ部門だけでなく、会社全体でリスクを捉えるべきものです」と、矢野氏は説明した。

セキュリティの強度とユーザーの利便性を合わせて検証するためにも、小さな範囲で始め、最大限の対策を実施するべきだという。実施のフェーズに入ると、他社の事例が気になるかもしれない。矢野氏は「働き方改革においては、他社の事例はそのまま使えません。他社の働き方改革、セキュリティ対策が自社に適しているとは限らないからです」と述べた。

最後に、矢野氏は次のようなアドバイスをくれた。

「働き方改革を推進するにあたって、自社の評価軸を持つことが大切です。それに従って常に可視化を行うことで、自社の変化を見つけ、リスクを分析します。セキュリティにおいては、継続することが重要です。働き方改革だからといって、原則は変わりません」