ニュース
» 2018年11月30日 08時00分 公開

「これさえやればOK」のルール作りが大事:社員に伝えるセキュリティポリシー、理想は居酒屋で語れるレベル――MS澤氏からのメッセージ (1/2)

「会社のセキュリティポリシーを守っていたら、仕事にならない」「使用禁止のツールをどうしても使う社員がいる」――こうした現場とIT部門のせめぎ合いに悩む企業が多い中、日本マイクロソフトの澤円さんが語る、発想の転換とは?

[高木理紗,ITmedia]

 IT部門が把握していないツールが現場の業務に使われてしまう、いわゆる「シャドーIT」は、以前から多くの企業が抱える悩みだ。最近は「働き方改革」や「業務効率化」を背景に、さらにその傾向は進んでおり、いつでもどこからでも使えるツールを多用した「生産性の向上」と「セキュリティの担保」という2つのニーズのせめぎ合いが起きている。

 JALやドルチェ&ガッバーナが億単位の被害を出したメール詐欺のように、企業の情報や財産を狙う攻撃は尽きない。片や、セキュリティポリシーを厳格化し、使えるツールやデバイスに制限をかけ過ぎてしまうと、より多くの成果を求められる現場にとっては、業務の足かせになるだろう。

社員の生産性を上げ、かつ会社を守るセキュリティとは何か?

photo 「Microsoft Tech Summit 2018」で講演した、日本マイクロソフトの澤円さん

 社員にとって働きやすく、そして安全な環境をどう作ればいいのか。2018年11月に開催された「Microsoft Tech Summit 2018」では、この問題をテーマに日本マイクロソフトでマイクロソフトテクノロジーセンター長を務める澤円さんが「働き方改革とセキュリティの仁義なき戦い〜IT プロはいかに備えるべきか〜」と題した講演を行った。

 冒頭から澤さんが強調したのは、「多くの場合、セキュリティの課題はツールよりもポリシーにある」という点だ。例えば、IT部門がセキュリティを担保する目的で、「○○を使ってはダメ」「○○を外に持ち出してはダメ」という、いわゆる“べからず集”を作る、あるいはもともとITに詳しくない社員の理解度を上げようと努力しても、失敗する場合が多いという。

 「IT部門が現場の人間にとって使い勝手が分かりにくいツールを導入しようとしても、定着しないことがほとんどです。日本企業ではよく見る光景ですが、社員が故意ではなく知識不足でセキュリティインシデントを起こしてしまった場合に、厳しく叱責するのも逆効果です。そうした出来事が重なれば、息苦しさを感じた社員が使いたいツールをこっそり使う、いわゆる『シャドーIT』につながってしまう」

 澤さんによれば、さまざまなツールが次々と世の中に出てくる時代に有効なセキュリティポリシーは、「これさえやっておけばOK」という最低限の対策を社員に周知する方向性にシフトしている。

 「現場の社員にセキュリティへの意識を高めてもらいたければ、彼らが普段から使うLINEやMessengerといったツールを制限するよりも、むしろ多要素認証を教えてあげる方が有効でしょう。実際に使い慣れたアプリで多要素認証を体験すれば、ユーザーはその仕組みを理解し、自発的に覚えられる。社員が多要素認証を普段から使うようになれば、それだけで会社にとってのリスクをかなり軽減できます」

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -