セキュリティの本質に目が向けられるように

次に、矢野氏は2021年の新たな傾向として、「セキュリティを本当に理解しているかどうか、その真価が問われるようになる」と話した。

近年、サイバー攻撃が大規模になり、テレビや新聞でもセキュリティについて報じられる機会が増えた。国家レベルの犯罪集団による攻撃や億に上る情報が漏洩した攻撃など、もはや実世界の犯罪顔負けの被害となっている。こうした背景もあってか、セキュリティに興味を持ち、知識を蓄えている人たちも増えている。

しかし、矢野氏は「これまでの10年は、セキュリティを表層的にとらえた人の意見が通りやすい状況にありましたが、これからは自社のことを熟知していないと、セキュリティが語れなくなってくるでしょう」と話す。というのも、セキュリティの本質を理解していないと、セキュリティに関するプランを立てることができないからだという。

前述したように、2020年まで、企業のITやセキュリティは混沌としていたが、新型コロナウイルスによるパンデミックが発生したことで、クラウドやモバイルを使わざるをえなくなった。こうした流れを受けて、2021年は自社のITや働き方が見定まり、そのためのセキュリティ対策を講じていくことになるとのことだ。

「権限管理」と「データ取り扱いルール」の重要性が増大

テレワークが始まったことで、企業ユーザーは閉域網から飛び出ることとなり、エッジ、クラウド、モバイルといった新たな領域におけるセキュリティが必要となった。こうした状況について、矢野氏は「テレワークによって、企業が抱えるセキュリティのリスクの場所が変わります。これまで、リスクは企業の内側にありましたが、テレワークを行うことで、社外あるいは従業員のすぐそばにリスクが移ります」と指摘する。

矢野氏は「2021年は、権限管理とデータ取り扱いルールの在り方が変わっていくでしょう」と語る。テレワークの導入によって、企業ユーザーは働く場所が時として変わることになるが、セキュリティを担保するには、セキュリティをコンテキストで検証できるようにしなければならない。そのためにも、「いつ、どこで、だれが、何をした」かを明確にしておく必要がある。そのうえで、逸脱がわかった時は対処しなければならない。

「危険だからといって、すべてのデータを持ち出してはいけないとしてしまうと、仕事になりません。データをユーザーにわたすリスクをとってでも、企業競争力を維持するためであれば、対策を講じた上で実施すべきでしょう。ただし、データの持ち出しは画一的にしてはいけません」と矢野氏は説明した。

データを管理するとなると、「データの棚卸をして、自社のデータをすべて洗い出さなければならない」と考える人もいるかもしれない。しかし、矢野氏は「やみくもにデータの棚卸をしても手間と時間がかかるだけです」と語る。「データの整理は合理性を持ってやるべきです。例えば非定型データは社内に散在し機密度も様々ですが、定型データは相対的に機密度が高いことが多く、検出もしやすいといった特徴があります」と矢野氏。

データの保護にあたっては、狙われやすいデータはルールに従って制御していく一方で、ユーザー部門のほうでも、どういう理由でコピーやダウンロードができないようになっているのか、それぞれの制御の意味を理解できるかが実効性の上では鍵になってくる。アクセス権限に関しては、攻撃者に乗っ取られたら困る管理者権限やクラウドサービスのアクセス権限の保護を優先すべきと言える。

テレワークの導入によって、企業のセキュリティは新たな局面を迎えているが、矢野氏は「テクノロジーを活用すれば、セキュリティは守ることができる」と語る。コロナ禍においても企業活動を継続していかなければいけない今こそ、「リスクが高いからテレワークに手を出さない」のではなく、リスクを見極めて、正しいセキュリティ対策を講じ、テレワークを活用して、ビジネスを進めていかれてはいかがだろうか。