便利さと背中合わせの課題にどう対処するか
クラウドの普及や、多様なモバイルデバイスの登場を背景に、「いつでもどこでも」仕事ができる、端末に依存しない業務環境へのニーズが高まっている。
実際、モバイル活用のメリットを得る企業は多い。例えば、営業スタッフは日報作成のためにわざわざ帰社する必要がなくなり、その時間を生産的な業務に充てられる。また災害時などの出社が困難な場合も、自宅にいながら仕事を行えるため、ビジネスの遅滞を防ぐことができる。こうした例は枚挙にいとまがない。
しかし一方で、メリットと引き換えに気を付けなければいけない点もある。それが、業務環境の変化による「情報セキュリティリスクの拡大」である。
例えば、端末の紛失や盗難、破損といったリスクは、デバイス台数が増え、社員の働き方が多様化すればするほど大きくなる。端末内の機密情報が外部に漏れれば、信用失墜により、ビジネス継続さえ危ぶまれる可能性もあるだろう。こうした事態を防ぐには、使われているデバイスを適切に管理することが必須だが、管理者が把握していない私物端末やクラウドサービスの利用、いわゆる「シャドーIT」の存在がネックになっている。
別の問題もある。それが、OS/アプリケーションの脆弱性を突く攻撃やマルウェアへの対応だ。従来、企業は各ベンダーが提供するセキュリティパッチやウイルス対策ソフトを適用することで、それらの脅威に対処してきた。そうした中、OSやアプリケーションごとの自動アップデートといった仕組みは整ってきたが、更新により不具合が発生することなどもあり、ユーザー主導ですべてをリアルタイムに進めていくことが難しくなっているケースも多いのだ。
さらに最近は、まだ更新プログラムが提供されていない脆弱性をつく「ゼロデイ攻撃」や、特定の企業・団体に最適化した攻撃を行う「標的型攻撃」など、一般のウイルス対策ソフトやパッチ適用だけで防げないものも増加。脅威自体も巧妙化している。このように、年々多様化するビジネスリスクは、もはや既存の手法では防ぎきれない状態になっているといえるだろう。
ここで注目したいのが、紹介したような既存の対策はすべて、「リスクをその都度つぶす」という“対症療法”的なアプローチに基づいている点だ。現在は、そうした手法をいち早く脱却し、“根本療法”的なアプローチにシフトすることが求められている。そうすることで企業は、自社内の情報を適切に守りつつ、クラウドやモバイルデバイスといった、一見リスクが高そうな先進のテクノロジーをビジネスの味方にすることができる。
それでは、セキュリティ対策の根本療法とはどんなものか。次ページ以降で検証しよう。