Freigeben über


フレキシブル ワークスタイル実現のポイント (6) ~セキュリティと生産性のバランス

ワークスタイルのフレキシブル化、つまり働く場所を固定しないモビリティの推進によって、セキュリティに不安を感じる方も多いことでしょう。事実、会社支給のノートPCを外部に持ち出せない企業は多いですし、USBメモリーやオンラインストレージの利用を技術的に制限している企業も少なくありません。しかし、別のトピックなどでも述べられているように、クラウドや仮想化、あるいはOSレベルやファイルレベルでの暗号化など、現在 「利用を制限」 しなくてすむ様々な技術的解決手段が提供されています。

一方で、技術では解決しようのない問題もあります。そのため、これらを一括りに考えてしまうことで、トータルとして不安をぬぐいきれない結果となり、過剰にリスク回避的になっている企業が多いように思われます。この様相は、今から10年以上前、インターネット黎明期における電子メールに対してセキュリティ上の懸念を訴える企業が多かったことを連想させます。

電子メールに対するセキュリティ観

かつて社内から外部に対して電子メールを送信できない企業は、金融機関を中心に少なからず一定期間存在しました。当時の論点は、電子メールを伝送経路のどこかでインターセプトされてしまった場合に内容の閲覧を防ぐことができない、であるがゆえに善意、悪意に関わらず内部からの情報漏えいを防ぐために電子メールの送信を禁止するというものでした。この論点の課題部分は技術的には間違っていないわけですが、ご承知の通り、今ではそのような企業はほとんどありません。

一方で、前述の課題をすっきり解決してしまう方法、たとえばS-MIMEによるメッセージの暗号化などを必須にしている企業は今どれぐらいいるでしょう?もちろんこのような技術を導入するには、互換性や金銭的な問題を乗り越える必要があるわけですが、論点が間違っていないわけですから、もっと利用していてしかるべきでしょう。しかし、電子メールの普及率に比べて、電子メール セキュリティ向上技術の普及率は大きく劣ります。つまり、多くの企業においては、

  • 電子メールの外部発信を禁止するのはビジネス上マイナスである
  • セキュリティ問題の技術的解決に必要な投資は、受けるリスクに見合わない
  • 技術より運用や教育など別の手段でカバーするほうがリーズナブル

という判断を下したということです。

情報の出口管理は効率が悪い

情報漏えい事故の多くは、実は相当な割合で 「紙」 が媒体となっていますし、また多くは 「意図しないミス」 によるものです。つまり、情報全てをデジタル化し、システムにより綿密にプロセスをコントロールしたほうが、これらの漏えいを防ぐことのできる可能性はむしろ高まるといえますし、コストや環境にも適切です。たとえば、当方は仕事柄、外部のパートナー企業の方から提案書やカタログデータなどを頂きたい場合があるのですが、USBメモリーを利用できなくしている企業の方が相手だと苦労します。本当ならその場でデータを受け取りたいのですがそれはできず、サイズが大きすぎて先方からのメール送信ができないため、オンラインストレージを利用するかあきらめるかのどちらかです。そのような企業の方はあらかじめ印刷物としてお持ちされることが多いのですが、当方は紙の書類を保管しておく場所など用意していませんので、スキャンしてすぐに廃棄することになります。紙と手間の無駄遣いでしかありません。情報の出口ですべての情報をいっしょくたに制限するからこのような面倒なことになるわけで、情報の種別ごとに発生地点の入口で管理すれば、もっと生産的でシンプルにできるはずです。

そもそも、セキュリティ レベルを 50% から 60% に上げるのは比較的容易ですが、90% から 95% に上げるのには莫大なコストがかかります。セキュリティにかかるコストには、その導入費用だけではなく、それによって低減する生産性の分も含まれることに注意が必要です。さらにセキュリティ レベルを100% にするのは事実上不可能です。

そうであれば、情報の機密度をいくつかのポートフォリオに分類したうえで 「入口側」 で管理するのが当然でしょう。高いレベルのポートフォリオに対しては2重3重にしっかりと鍵をかけるなど万全の対策を施し、低いレベルのポートフォリオに対しては誰が持ち出したかのトラッキング程度の生産性を阻害しない基本的なテクノロジーの適用と、従業員教育や漏えいしてしまった後の迅速な対策によってカバーするというように、リスク マネジメントによる投資の最適化が必要です。そうすれば、最適なコストで生産性を下げずにセキュリティ対策できます。こうした議論は目新しいものでもなんでもないはずなのですが、一向に改善しないのは、マネジメント不全としか言いようがありません。むやみに怖がることで、それがどれだけの機会損失を生み出しているのかを正しく理解すべきです。

生産性強化は待ったなし

スマートフォンやスレート型デバイスは、コンシューマーの世界では普及しつつあり、ビジネスの世界においてもそれをどう活用できるのかの議論が進んでいくことでしょう。マイクロソフトからもやがてWindows 8やWindows Phone 8がリリースされます。こうしたテクノロジーの進化により、制約のない企業はその生産性をどんどん向上させ、新たなビジネス スタイルや新たなビジネス モデルを生み出していくことになります。

この大きな流れの中で、無用な心配による過度な萎縮は、致命的な競争上の不利になりかねません。ビジネス活動は投資である以上、リスクとリターンのバランスの問題であり、セキュリティ問題もその一部です。セキュリティは、生産性をもたらすワークスタイルに対して、そのリスクを最小化するための手段です。セキュリティを基準にワークスタイルを合わせるのは本末転倒であることを認識する必要があります。