「従来のワークプレイス(労働環境)から、デジタル技術を活用して働きやすさを向上させた「デジタルワークプレイス」(デジタル時代の労働環境)へとワークプレイスが変わりつつある」──。ガートナー ジャパンは2019年7月29日、デジタルワークプレイスに求められるセキュリティ対策を4つ挙げた。例えば、セキュリティのルールは「禁止」から「許可」へと変わる。アンケート調査結果を基に、ガートナーが見解を出している。
2019年2月に国内企業を対象に実施したユーザー調査の結果、全体の52.2%が、デジタルワークプレースのセキュリティ対策に何が必要かを把握できていなかった。内訳は、「どのようなセキュリティ対策が必要なのか分からない」と答えた企業が42.3%で、「十分なセキュリティが確保できないため採用を進められない」と答えた企業が9.9%である(図1)。
図1:日本におけるデジタルワークプレースのセキュリティの状況(出典:ガートナー ジャパン)拡大画像表示
ガートナーでは、デジタルワークプレイスのセキュリティにおいては、以下の4つの点から対策を進めていく必要があるとしている。
- セキュリティの方向性:「ゼロ」 or 「諦める」から「許容範囲を小さくする」に
- セキュリティの前提:「XXない」前提から「〇〇できる」前提に
- セキュリティのルール:「禁止」から「許可」に
- セキュリティのツール:「最初の設定のまま放置」から「ツールで『見続ける』、ツールを『使い続ける』」に
(1)従来のセキュリティの考え方は、不安を払拭するためにセキュリティを強化するか、利便性を重視してセキュリティを諦める、というものだった。これを、不安への対応ではなく、「リスク」への対応として、できる限りリスクを小さくするというアプローチに変える。「セキュリティのリスクをどのようにすれば小さくできるか」という観点に立ってセキュリティ対策の議論を進める。
(2)従来のワークプレースの前提は、「持ち出さない、接続しない、アクセスしない」ことである。働き方の自由度や柔軟性を制限している。これに対してデジタルワークプレースの前提は「外でも使う、ネットワークにつながる、いつでもどこでも見られる/触れる」ことである。従来のルールを無理やり適用するのではなく、新しい環境を前提とした新しいセキュリティのルールを策定する。
(3)従来のセキュリティルールの特徴の1つは「禁止」するセキュリティである。一方、デジタルワークプレースのセキュリティは、ユーザーが自由かつ柔軟に働けるよう「許可」することからスタートする。従来のセキュリティルールのもう1つの特徴は、一度決めたルールを使い続けていることである。デジタルワークプレースのセキュリティにおいては、ユーザーの利用状況やセキュリティ上の脅威の変化に応じてルールを変更し、最適なセキュリティ強度に調整していくという新たなアプローチが必要になる。
(4)従来のワークプレースのセキュリティで用いるツールは、防御を主体としたものが多い。一度設定したらそのまま「放置」しておくこともできる。デジタルワークプレースのセキュリティでは、ユーザーの利用を許可し、利用状況を見続け、必要に応じてセキュリティ設定を変更する運用が求められる。活用するツールも、利便性の確保、セキュリティの確保、継続的なモニタリングの実施、という3つの機能をカバーできるものが求められる。
