今年に入ってから「クラウド」という言葉が一般的な用語として浸透しています。「クラウドは安い」「クラウドは新しい技術」というようにすり込みも順調のようです。
「クラウドが危ない」という言っているのはセキュリティ業界くらいで、むしろ「クラウドは新しい」→「従来技術より良い」→「安心」という曲解が広まる力の方が大きいように感じられます。
個人を見ればスマートフォンの利用が急速に広まっています。電車に乗ってもスマートフォンの利用者の数に驚かされます。このスマートフォンというものはインターネットを活用してはじめて威力を発揮しますし、一度慣れてしまうと手放せなくなってしまいます。メールやスケジュールを基本として、EvernoteやTwitterなどスマートフォンと相性のいいアプリケーションが充実しています。
これだけ便利な機器を使いこなしていくと、会社の業務でも利用したくなるのは当然のことです。
ここでおもしろいのは、普段は「リスクだ」「脅威だ」と言っているセキュリティ業界の人もスマートフォンは何の抵抗もなく使っていることです。スマートフォンのアプリケーションを使い込んでいくと、自然にクラウドを利用していることになります。つまり、スマートフォンはクラウドのセキュリティアレルギーを取り去る作用があるのです。
従って、業務にスマートフォンやクラウドを利用しようとするときにセキュリティのアレルギーはほとんどなく、むしろ便利で安心なものというとらえ方をしているのではないでしょうか。クラウドは信じられないうちは怖いのですが、一度信じてしまえば怖くなくなってしまうのです。これがクラウドの怖さと言ってもいいかもしれません。
そうなってしまうとクラウドの普及は止められなくなってしまいます。いま企業では、部門やグループで「勝手クラウド」が導入されている例が増えているようです。私の周りでも「勝手にクラウドが導入されてしまっている」という声を聞きます。
メールやスケジュールを手はじめに、グループ内での共同作業やドキュメント作成などに使われているようです。ストレージとして自分のパソコン内のデータのバックアップを行っている社員もいるようです。当然自宅での作業にも使われていることでしょう。
あるいは、ある部門がサービスを提供するために設置したサーバーが、海外のレンタルサーバーだったという例もあります。コストが安くて柔軟だという条件から選択すると海外のサービスになってしまうことは仕方のないことでしょう。
しかし、このような「勝手クラウド」は情報漏えいの原因になる可能性があります。かと言って、「クラウドの利用は何でも禁止」というルールを作るのも企業競争力を自ら削ぐようなものです。
クラウドの利用は進めていくというのが世な中の流れですから、リスクを最小限にしながらも利用促進していく姿勢が必要でしょう。そのためには、勝手クラウドを把握、管理することから始めなければいけません。
しかし、クラウドを利用する際には届け出が必要というルールを作ったとしても、ユーザーから見ると、どれがクラウドなのかが分かりません。従って、「データを会社外に持つもの」という程度の緩い規定を整備して徹底させることから始めてはどうでしょうか。
ノートパソコンの紛失などが問題になったときには「持ち出し禁止」にすればよかったものの、今回は利用促進していきながら情報をコントロールするということにチャレンジしなければならないわけですから、情報セキュリティ担当者はますます重要な役割を担うことになるのでしょう。これまでの制限を中心とした情報セキュリティマネジメントの発想を変える必要もあります。
これまでの情報セキュリティマネジメントは、PDCAという考えに代表されるように、比較的長い時間軸で活動を行うことを前提としていました。それは今後も変わらないと思いますが、一方で急速に広まっている新技術への対応は待ったなしで検討しなければいけません。そうしないと、いつのまにかクラウドだらけになっていて、社内の情報が拡散してしまっているかもしれないですし、対応の遅さや柔軟性のなさが原因で社内からの信用も失われてしまうかもしれません。
