はじめまして。デジタルサービスコンサルティング部の伏見です。
私は主に、セキュリティ分野におけるお客様の課題解決や中長期的なロードマップ策定、組織としてのポリシーや運用ルール策定などの支援・コンサルティングを担当しております。
今回は、最近多くのお客様からご相談いただく、「働き方改革推進に伴う持ち出し PC のセキュリティ対策」や「クラウド利用増加に伴うセキュリティ強化」などの問題から伺える、セキュリティ課題検討自体の根本的な問題と、社内上申に向けご理解いただきたいポイントを記事にさせていただきます。
セキュリティ検討あるある
働き方改革法案施行に伴い、数年前から多くの企業が働く環境を整備されてきました。利用者の利便性やワークライフバランスなどを考慮するため、各システムをクラウド化し、社用 PC を持ち出して自宅やカフェでの業務を許可するケースが多く見られます。その反面、働く場所・時間帯・環境の自由度を高めると、管理すべき範囲が広がり、今まで以上に新たなセキュリティリスクも考える必要が出てきます。
しかし、このような悩みを持たれているお客様からご相談を受ける中で、本来の目的は「働き方改革」を推進する為に必要な「セキュリティ対策」であるにも関わらず、「セキュリティ対策」の具体的な事例や効果について議論すると、単にこのセキュリティ製品や機能が要か不要かの検討にすり替わってしまう事があります。
セキュリティ検討は、目的からご相談ください
例として、「働き方改革推進に伴い、持ち出し PC が増えていく為、エンドポイントセキュリティの強化として、EDR 導入の検討を進めたい」というご相談いただいた場合、我々は、目的に対する課題が認識された上で具体的な検討に進まれている。と解釈してしまいます。
しかし実際は、EDR 導入展開や運用に関する課題などが見えてくる中で、「EDR 導入はあきらめて、PC の持ち出しを禁止する」といった結果になる事があります。
結果的に、この例の検討事項は「EDR 導入」ではなく「PC の持ち出し可否」であったという事になり、本来の目的であったはずの「働き方改革推進」に寄与する事ができていません。
このような遠回りを引き起こさない為にも、セキュリティの検討については、ぜひ目的からご相談いただくことをお勧めいたします。
「セキュリティ対策」には必ず目的があるはずで、その目的のための手段としての検討であることを忘れてはなりません。
目的を達成するために何をどのような観点で検討するのか、対するコストや期間や制約条件は何か、最適な手段が見つからなかった場合の代替策や回避策はあるか。など、ぶれない軸で検討する必要があるのではないでしょうか。
さいごに
今回記事にさせていただいた内容は、至極当然で誰が見ても当たり前の事だと思いますが、ことセキュリティに関しては、ありがちな話です。
サイバー攻撃とセキュリティ対策は日進月歩で変化し、終わりなき戦いのようなものです。その場では最適な選択であっても、将来のベストプラクティスかどうかは誰にも分かりません。
しかし、「目的」に対する明確な「対策」であれば、その目的を達成するベストプラクティスである事に間違いないのではないでしょうか?
関連ページ
組織全体のセキュリティ評価サービス「セキュリティアセスメント 中長期ロードマップ作成サービス」詳細はこちら
|