組織において従業員に機動力を提供する「エンタープライズモビリティ」に対する需要が高まっています。その範囲は、常に最新技術やビジネス動向をいち早く取り入れるハイテク企業だけでなく、金融サービスや医療、政府や公益事業といった伝統的に保守的な分野にも広がっています。しかし、その環境を守るセキュリティにおいても伝統的な考え方が通用しなくなっています。今回は、エンタープライズモビリティのセキュリティを考えるためポイントを解説します。
モビリティ(機動性)を活用する組織が増えています。その理由はさまざまです。例えば、営業会議やカンファレンス、見本市への出張などオフプレミスで仕事をする際の生産性の向上があります。多国籍組織の場合であれば、国際的な労働時間の違いに対応しなければならないという理由が大きいかもしれません。世界各地にいる従業員の働く時間帯に時差があるため、オフィスアワー以外に自宅から電話をかける必要性がでてきます。
米Cisco Systemsのレポートによれば、ジェネレーションXやジェネレーションYと呼ばれるミレニアル世代(1980年〜2000年生まれ)と人事の専門家の約3分の2が「柔軟なモバイルおよびリモートのワークモデルを採用している組織のほうが、従業員に毎日午前9時から午後5時までオフィスにいることを強いる組織よりも競争上の優位性がある」と考えています。同様に、米調査会社のギャラップの調査は「就業時間の最大20%をオフィスの外で働く従業員は、よりエンゲージメント(愛着心)が高い」と報告しています。
こうした企業の機動性を実現するのが「エンタープライズモビリティ」です。需要が高まっている背景には、大きく3つのトレンドがあります。1つは、出張先や自宅などオフィスの外で仕事をする従業員の増加です。グローバル化の影響もあります。2つ目は、クラウドベースのアプリケーションのビジネス利用の増加です。中でも代表的な例が「Office 365」や「DropBox」そして「Amazon Web Services(AWS)」です。
そして最後が、スマートフォンやタブレットといったモバイルデバイスのビジネス利用の増加です。つまり、一般消費者向けのITを企業が利用するIT コンシューマライゼーションの進展が、従業員や組織がオフィスという物理的な空間にいなくても、生産性と接続性を維持することを、より容易にしているのです。
ITのコンシューマライゼーションが境界を不明瞭にする
一方で、ITコンシューマライゼーションによって、かつてのシンプルで伝統的なITの境界が消え去りました。従来のIT境界は、1つのファイアウォールを経由して1つの企業ネットワークに接続する1台のデスクトップと、そのファイアウォール内にあるアプリケーションに接続する従業員から成り立っていました。
今日のIT境界は、はるかに不明瞭です。アプリケーションへの接続はVPN(仮想プライベートネットワーク)を使ったリモート接続がほとんどですし、PCだけでなく、ノートPCやスマートフォンなど多くのモバイルデバイスが利用できます。そしてアプリケーションには、第3者が管理するクラウドのSaaS(Software as a Service)が含まれます。こうした環境下で、エンタープライズモビリティの利用を拡大するために必要なセキュリティの問題とは何でしょうか?
最大の問題は、ほとんどの企業アプリケーションへのアクセスが、デフォルト設定では静的なパスワードでしか保護されていないことです。静的なパスワードは、フィッシング攻撃や総当たり攻撃、利用者データベースのハッキングなどの方法で容易に侵害や盗用を許す恐れがあります。さらにAWSやOffice 365などクラウドベースのアプリケーションが増えたことで、従業員はユーザー名とパスワードのセットを10~25個も管理することが一般的になり“パスワード疲れ”と呼ばれる現象も発生しています。
企業のファイアウォールの外でアクセスしたアプリケーションも、もっぱら静的なパスワードで保護されています。組織のデータやネットワークの機密性を危険にさらすことは明らかです。従業員は2つ以上のモバイルデバイスを利用しているとされるだけに、安全なアクセスに対する懸念が増大しています。事実、米通信事業者のVerizonによる2016年度のデータ漏洩/侵害調査報告書によると「データ漏洩・侵害の63%がパスワードのハッキングや盗用、再利用によるもの」でした。
モビリティの増加に伴うセキュリティの問題として次に挙げられるのが、ITを管理するためのオーバーヘッドです。モビリティの専門家は、従業員の柔軟性を高めることで、IT 管理スタッフの作業負荷が増えることを懸念しています。これらは、導入・運用コストという障壁として立ち上がってきます。
組織やIT部門は、生産性の理由からモビリティを高めるという“ビジネス圧力”を受けながら、同時にセキュリティやIT管理のオーバーヘッド、コストとに対する懸念という“IT圧力”を抱えざるを得ません。そうした中で何をすべきなのでしょうか?