ニュース
» 2014年06月17日 08時00分 UPDATE

コンシューマITの企業活用:モバイルやクラウドストレージ利用、セキュリティの不安を取り除く勘所 (1/2)

情報漏えいセキュリティリスクの増大を恐れ、従業員のモバイルやクラウドサービスの業務利用に、消極的な意見を持つIT管理者は多い。第2回目は、クラウドストレージやモバイルデバイスの業務活用を題材に、企業における安全で効率的な活用に向けたセキュリティ対策の具体的な検討プロセスを考察する。

[森本純(トレンドマイクロ),ITmedia]

コンシューマライゼーション時代のセキュリティ検討はどこから手をつける?

 連載の第1回は、漠然としたセキュリティへの懸念を理由に、企業のセキュリティ管理者・担当者の中にコンシューマライゼーションの導入に否定的な意見が挙がっていることについて言及した。コンシューマ向けのIT製品・サービスには、企業が求める管理・統制の機能を備えていないケースが少なくない。そのため、取り扱う端末やサービスの多様化に伴って、業務で扱う情報があらゆる手段であらゆる場所に分散することが想定される。企業の管理者が、その導入に懸念を持つのはもっともである。

 しかし、ここで注意しなくてはならないのは、管理者によるコンシューマライゼーション禁止の結論が企業として本来の利用意義を検討すること無しに出されてはいないかという点だ。

 コンシューマライゼーションの導入の是非に関する議論では、従業員の利便性向上と管理者によるセキュリティ強化(なかでも情報漏えい対策)の相反が課題としてよく取り上げられる。だが、忘れてはならないことがある。それは管理者側からみたセキュリティ強化も、従業員側からみた利便性向上も、それ自体は企業としてのビジネスゴールを達成するための手段の一部に過ぎないということである。

 本来、企業における新たなITシステムの導入に関する議論は、それがビジネス上有益か否かを持って決められるものだ。企業としてビジネスメリットがあると判断されるなら、新たなITシステムを必要なセキュリティレベルで実装するのが管理者の重要な役割となる。また、ビジネスメリットの視点から不要と判断されたならば、たとえ従業員の利便性が上がろうとも、コンシューマライゼーションをもたらす新しいITシステムの導入は、そもそも必要ないはずである。

 言葉にすると当たり前のことに過ぎないのだが、管理者、従業員がそれぞれの立場で業務への貢献を率直に目指した結果、セキュリティ対策が過剰に重視され、従業員の業務効率が著しく下がったり、従業員が無秩序にツールやサービスを利用し、企業の存続も脅かしかねないセキュリティインシデントを引き起こしたりといった、結果的に企業のビジネスメリットに寄与しないITシステムは、現実にはそこかしこに存在している(図1参照)。

図1 図1:セキュリティの果たす役割の位置付け

 それでは管理者として、ビジネスに貢献するという視点に立ってコンシューマライゼーションのセキュリティを適切に検討するには、何から手をつけるべきであろうか。

 例えば、利用者側から「タブレットをシステムで活用したい」というリクエストが上がってきた場合、管理者が何をおいても確実に把握しなければならないのが、そのシステムで扱われる情報の中身である。守るべき情報が何であるかを把握せずして、対象のシステムに適切なセキュリティを実装することはできない。

 この場合、タブレットを使って「業務に必要な情報活用を実現する」ことが目的であり、「タブレットを使う」ことは単なる手段に過ぎない。しかし、こうした検討ではよくタブレットの利用そのものを目的にしてしまうケースが見受けられる。セキュリティの検討でも、本来は最も重要な「その上で扱われる情報」をないがしろにしたまま、タブレットにはどんなセキュリティ機能があるかといった、手段ありきの検討が始まってしまうことも多々みられる。

 これを解消するための1つのアイデアが、新たなITツールやサービスの導入検討時に、それらの業務活用シーンをとことん具体化することである。例えば、企業におけるスマートフォンやタブレットをはじめとしたモバイルデバイスの主な活用目的には、「生産性のアップ」と「コスト削減」がある。この目的達成に寄与するモバイルデバイスの活用例には次のようなものが考えられる(図2参照)。

図2 図2:モバイルデバイスの活用例

 実際には、ビジネスの特性や利用部門によって導入目的も活用例も異なるが、それぞれの組織の中でモバイルデバイスの具体的な活用シーンが明確になれば、その上で取り扱われる情報も明確にしやすい。さらに扱う情報が具体的になれば、その情報の重要度も判明するため、システムに対しての適切なセキュリティの度合いが明確になる。図3、モバイルデバイスの活用シーンから導かれる取り扱い情報の価値とそれに応じたセキュリティ対策の例である。

 この図3における横軸――すなわち、どのような目的でどのシステムの情報を利用するかを最初に検討すれば、必然的に縦軸にある情報の重要度が判明し、適切なレベルでのセキュリティ投資につなげられる。併せて、システムの特性を踏まえた具体的な対策手段の検討が進められるであろう。

図3 図3:取り扱う情報の重要度に応じたモバイルセキュリティの検討
       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -