働き方改革が叫ばれる中、従業員の働き方に柔軟性が求められている。ひとつの表れは、モバイル/リモートワークや在宅勤務といった、自由な働き場所の選択だ。しかし、これはセキュリティを重視する企業にとっては頭の痛い問題でもある。特にモバイルワークでは、SaaSやクラウドを使った情報のやり取りが主流になっており、セキュリティに対しても従来とは異なる視点で取り組む必要が出ている。ユーザーの働き方の快適性をスポイルせず、業務で必要とされる様々なデータを安全に運用するにはどうすればいいのか? 企業のセキュリティに詳しい、マカフィーの櫻井秀光本部長にお話を伺った。
クラウド時代のセキュリティでは、考え方の転換が必要
── 働き方改革が叫ばれています。企業がセキュリティを確保するための考え方も変わっていくのでしょうか?
櫻井 情報セキュリティ対策の現状について考えてみましょう。ある程度の企業であれば、社内のネットワークが保護されているのは当たり前になっています。ファイアウォールや各種エージェントが、必ず導入されています。つまり、オンプレミス環境(自社運用のネットワーク内)で働くのであれば、十分な保護が受けられます。
ただ、働き方改革が進むことで、状況が変わってきました。カフェ、レンタルオフィス、自宅など、リモート環境でも社内と同じように働く人が増えています。そうなれば当然、これまで社内だけで扱っていた情報を社外に持ち出して、社内にいるのと同じような方法で活用する必要性が出てきます。
持ち出すデバイス自体のセキュリティ対策は、企業がノートパソコンを導入し始めた時期から続いている、古典的な対策方法です。持ち出せる機器を許可制にして管理する。ストレージの内容を暗号化してデータを守れるようにする。紛失した際にその場所を特定したり、リモート消去ができるようにしたりする。……といったものが該当します。
しかし、現実はもっと複雑なものになっています。業務で扱うデータは、PCの中だけでなく、プライベート・データセンター、そしてクラウドなど様々な場所に保管されています。そして、いま守るべき重要なデータの多くは、クラウド上にあるのです。
ここが、ここ数年で進展した一番の変化です。結果、クラウド上のセキュリティ対策について「何から手を付け、どうすればいいかが分からない」「アイデア自体がない」といったお客様が本当に多くなっています。既存のセキュリティに対する考え方を改めねばならないタイミングが来ていると思います。
── 考え方を改めるという点についてより具体的に教えていただけますか?
櫻井 過去であれば、重要なデータは社内サーバーに格納し、アカウント制限や暗号化対策などを施せばよかったのです。そして、外から利用したい場合はVPNなどを経由して社内のシステムにアクセスする、こんなやり方が有効でした。また、モバイルノートでデータを扱うのに問題があるなら、「持ち出し端末はVDI(シンクライアント)端末にしましょう」といった対策も取られました。しかし、SaaSやPaaS、IaaSといったサービスではデータがクラウド上にあるので、このやり方が通用しません。
今後クラウド上に保存し、共有されるデータの量が増えれば、機密レベルの高い情報がクラウドに保存される絶対数も増えてくるでしょう。Office 365など便利なサービスもありますが、その安全性を高めるためには、従来とは全く異なるアプローチが必要です。専門家のアドバイスが必要だと考えています。
週刊アスキーの最新情報を購読しよう