禁止型セキュリティの終焉

禁止型セキュリティの終焉

2015年3月2日
 

禁止型セキュリティの終焉

 

日本マイクロソフト株式会社
チーフセキュリティアドバイザー
高橋 正和

 

ほんの数年前には、クラウド利用の是非が議論されていたが、現在では、ほとんど無意識にクラウドが利用されるようになった。スマートフォンやタブレットの普及と、ストレージサービスやSNS等の普及がクラウド利用を後押ししている。

ビジネス領域でもクラウド利用が進み、極端に言えばITのパラダイムを変えている。
例えば、弊社の企業市民活動で、農産物の直販を立ち上げたグループにクラウド版のERP(Dynamics Online)を提供したケースでは、即日ダイレクトメールの印刷まで行うことができた。ソフトウェア製品(パッケージ)を提供した場合は、コンピュータ等の選定と調達、そしてセットアップと、相当の費用と期間が必要で、即日稼働は考えられない。企業戦略として、莫大な予算を投じられてきたERPが、専門家を雇うことなく、利用者自身の手で速やかに利用できるようになったことは、IT利用の根幹にかかわる大きな変化だと感じている。

この変化は、IT部門にとっては必ずしも良いことだけではない。たとえば、ユーザー部門が独自に社外にサーバーを立てるなど、IT部門の知らないところでユーザー部門主導のIT(シャドーIT)が進むという問題がある。また、社員等の利用者が独断で使用した無料のサービスを通じて、機密情報が漏えいした事件も起きている。この事件は、利用したメーリングリストサービスのメールが添付書類と共にWeb上に蓄積され、検索エンジンの検索対象であったことが漏えいの原因となった。

ITやセキュリティの担当者は、データ通信やWiFiといった通信環境の進展、そして、メール、SNS、ストレージなどのサービスの普及により、誰もが企業ネットワークに頼らず、そして、IT部門が用意するサービスにも頼らずに、高度なIT環境が利用できることを直視する必要がある。

このような状況の下で、規則で縛る禁止型のセキュリティには限界が来ている。規則で縛っても、IT管理者の知らないところで、企業の管理外のリソースを使って破られてしまい、そして、専門家のサポートのないユーザー主導のIT利用は、セキュリティ上の問題を引き起こす可能性が格段に高い。つまり、規則で縛る禁止型のセキュリティが、むしろリスクを高める状況になっている。

現在のセキュリティは、まず、クラウドやマルチデバイスを前提とした管理ドメインを定義すること、そして柔軟で堅牢なITアーキテクチャを構築し、その中にセキュリティを組み込んでいくことが重要だと考えている。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。