BYOD、モバイル、ソーシャル――日々進化する新しいテクノロジーを生かすための情報セキュリティ:日本IBMのCISOに聞く、セキュリティへの取り組み
BYODやモバイル、ソーシャルなどの新しいテクノロジーを業務で有効活用したいと考える企業が増えている。しかし、新しい技術の導入には、セキュリティ上のリスクが伴うことも忘れてはならない重要なポイント。BYODやモバイル、ソーシャルなどの技術を、いかに活用すればよいのか。
スマートフォンの普及を契機とし、企業のモバイル活用がさかんに議論されている。特に個人所有のデバイスを業務で利用するBYOD(Bring Your Own Device)の利便性、モバイルなどの新しいテクノロジーが持つ業務の効率化などのプラスの効果と、セキュリティ上のリスクというマイナス面についてどのように考え、いかに管理するかは多くの企業の関心事と言える。
ソーシャルに関してもプラス、マイナス両方の側面が存在しており、多くの企業が利用に対して懸念を抱いているのが実情だ。こうした新しいテクノロジーにどのように取り組めばよいのだろうか。日本IBMでCISO(最高情報セキュリティ責任者)を担当するGTS事業 ITSデリバリー ユーザー&コミュニケーション・サービス 理事の我妻三佳氏に話を聞いた。
情報セキュリティは重要な経営課題のひとつ
―― 情報セキュリティは主要な経営課題のひとつであるということが、まだ一般に浸透していない気がします。現場で行っているから大丈夫という思い込みで済ませている経営者は多いと感じますが、日本IBMでは情報セキュリティをどのように経営課題として位置づけてきたのでしょう。
我妻 IBMは標準化やプロセスを、きっちりと作り込む会社で、会計処理のような企業活動のベーシックな部分から、ITインフラ構築や新たに登場したテクノロジーの活用まで、どのように標準化すればよいかを常に探求してきました。情報セキュリティに関しても、その一環として取り組んでいます。
日本の製造業などにしばしば見られるのですが工場や海外拠点ごとに、部分的に標準化を進めてしまうと、全体として何を標準化の柱にするかがぼやけてしまう場合があります。IBMでは、米国本社が先陣を切って標準化を推進してきたので、情報セキュリティに対する柱が1本あり、情報セキュリティ対策に迅速に取り組めています。
―― 情報セキュリティにおけるIBMの柱について聞かせてください。
我妻 標準化をする場合、何を意識し、何に重点を置くかとよく聞かれます。情報セキュリティに限りませんが、IBMが標準化をする場合には、まず世界各国の法律を徹底的に調査します。IBMは140カ国以上で事業を展開していますが、各国の法規制や制約などをベースに取り組むべきポイントを整理します。
基本的には最も厳しい国に合わせて標準化の柱を作っていきますが、その国の文化や習慣などの価値観に左右されることもあり、その場合は例外的措置として柔軟に対応します。
この柱が各国のIBMで適用できるのか、適用する場合、不足する経営資源は何なのかを考え、リスクがどこにあるのかを吟味します。場合によっては予算措置も講じます。すぐに適応できるものもありますが、1年で適用できない場合には、数年かけて実現する手段も必要です。標準化ができたら終わりではなく、定期的に内容を見直すことも重要です。リスク対策の要因は常に変動し、増え続けるので、見直しを繰り返すことが必要です。
BYODやモバイルのあり方
―― BYODやモバイルは、使い方によりビジネスを競争優位にしますが、まだ多くの企業で採用する、しないの意見が分かれています。例えば、経営層は積極的だが、IT部門は消極的、といった具合です。IBMとしては、どのように考えていますか。
我妻 BYODやモバイルなどの新しいテクノロジーは、IBMはテクノロジー・カンパニーを自認している以上積極的に取り組むべきテーマと言えます。確かにリスクもあり、想定外のことも予想されますが、世の中がBYODやモバイルといったテクノロジーを必要とするのであれば、先ずは使いこなし、何がリスクなのかを明らかにし、どう活用すべきかを提案することがIBMに求められています。
このとき、標準化に基づいたルールをいかに順守させるかも重要です。また経営戦略のひとつとして、新しいテクノロジーの活用によるワークスタイル変革も重要です。多様な人材の活用という点でも、BYODやモバイルといったテクノロジーを生かせるのではないかと考えています。IBMのスタンスとしては、まず取り組むことです。
―― BYODやモバイルオフィスの具体的な取り組みについて聞かせてください。
我妻 BYODが注目されるようになった理由のひとつに、スマートフォンの登場が挙げられます。スマートフォンの登場により、これを業務でも活用したいという声が出てきました。海外では、スマートフォンを使って会社のメールにアクセスしたいと考えるIBMの社員が接続のためのアプリケーションを開発しました。このアイデアが後に製品化されています。
IBMでは、すでに会社からPCと携帯電話を支給していたので、さらにスマートフォンを全社員に支給することは現実的ではありませんでした。一部の幹部社員には緊急連絡の目的もあってBlackBerryを支給しましたが、一般社員については米国では2008年頃から、日本では2009年後半から、会社の承認を得た上でスマートフォンのBYODを可能にしています。当時問題とされた点は、デバイス上にデータが残ってしまうために、スマートフォンを紛失・盗難した場合、機密情報が漏えいしてしまう可能性があること、またPCレベルのマルウェア感染対策がとれないことです。
リスクを回避するためPCのように制約なくイントラネット上で何でもできるのではなく、スマートフォンのWebブラウザでメールを参照し、デバイスにデータが残らない仕組みでの利用からスタートしました。何がリスクなのかを社員にも理解してもらうことが重要です。PCであれば、ある程度十分な情報セキュリティ対策が可能ですが、スマートフォンは、まだ十分なツールや手段が提供されていません。そのためスマートフォンでは、PCより少し制約のある利用環境になっています。
―― BYODやモバイルのためのルール作りで特徴的なことはありますか。
我妻 BYODやモバイルで使うのは、個人所有の機器ですが、業務に使用する以上は、会社の標準で決まっている規則は守らなければなりません。パスワードを設定し、定期的に変更することはもちろん、紛失や盗難にあった場合、個人のデバイスですが、会社に報告してもらうことをルール化しています。(図1)
情報セキュリティ担当者として興味深い事実に気がついたのですが、携帯電話やPCのような会社から支給されている機器と個人所有のスマートフォンでは、愛着や思い入れが異なるようで、会社の携帯電話の紛失事故より、個人所有のスマートフォンの紛失事故が圧倒的に少ないです。これは数値的にも実証されており、BYOD効果のひとつかもしれません。
BYODやモバイルがワークスタイルの変革を加速
―― BYODやモバイルなどの活用により、IBMではワークスタイルの変革は推進されているのでしょうか。
我妻 BYODやモバイルは比較的新しい取り組みですが、ワークスタイルをどうのように変革していくかは、多様な人材活用という側面で、これまでにも取り組んできました。例えば出産休暇や育児休暇、最近では介護休暇など、制度面を整えて、優秀な社員にはできるだけ長期に働いてもらうことを追求しています。
それに加えてBYODやモバイルなどの新しいテクノロジーが登場したことで、場所や時間を選ばずに仕事ができるというワークスタイルの変革が期待できます。IBMでは、まず制度面が整備され、次にBYODやモバイルなどが相乗効果となって効果が出てきたと思います。これにより、オフィスのあり方も変化すると思います。
日本では、まだオフィスに集まって仕事をしている状況ですが、海外では地理的な制約もあるためにバーチャルなチームを構成することも多く、オフィスに来て仕事をしているのは全体の20〜30%程度です。そのためBYODやモバイルの活用は必然的になっています。
―― BYODやモバイルは、事業継続性の観点からメリットも大きいといわれています。
我妻 災害対策をはじめ、リスクマネジメントにおいて、BYODやモバイルという言葉が一人歩きしている気がします。確かに災害対応や事業継続性の観点で、役立つとは思いますが、狭い視点で議論されているように感じます。新しいテクノロジーに、いかに取り組むか、企業としてリスクをどう捉えるか、経営戦略上どのような意味を持っているのかというバランスを、もう少し大きな視点で考えることが必要です。新しいテクノロジーの活用は永遠のテーマですが、取り組むのと取り組まないのでは大きな差となり、気付いた時には乗り遅れている可能性もあり、それもひとつのリスクと言えます。
ソーシャルの活用に企業は消極的
―― ソーシャルの企業活用についてはいかがでしょう。
我妻 IBM社内にも、ソーシャルを活用している社員は数多くいます。しかし、書き込む内容によっては、会社やお客さまの機密情報に関わる可能性もあり、大きな問題になります。実際に事件も起きており、ソーシャルが及ぼす影響や、リスクを理解して使用する必要があります。
多くの人との双方向コミュニケーションによる情報共有や意見交換ができ便利なので、業務上もソーシャルを使うことが有効な手段になり得るとは思います。しかし、自分が掲載した情報が、どのような仕組みで、どこまで共有されるのかなどきちんと理解しておかなければ、思わぬところで問題が発生するリスクも排除できません。ソーシャルを使うことのリスクを意識しておくことも重要なポイントです。
―― IBM社内でソーシャルの活用ルールはあるのでしょうか。
我妻 まずひと言でソーシャルといっても、社内だけで利用するクローズドなソーシャルと、広く一般的に利用されているオープンなソーシャルがあります。クローズドなソーシャルでは、社員としてのルールを理解しているので、ビジネスに関する情報を共有したり、意見やアイデアを交換したりということに使っています。これは非常に有効な手段になっています。
一方、オープンなソーシャルは、CIOやCISOではなく、グローバルで広報部門が管理をしています。理由は、会社の声を外の人に届ける、ソーシャルリレーションシップを目的としているためです。IBMの標準に基づき、広報が作成したガイドラインに従って運用することになります。(図2)
IBMの社員という身分を明かして利用しているので、機密情報の漏えいはもちろん、誹謗中傷など、IBMのルールだけでなく、ひとりの人間として社会のルールも守らなければなりません。特に業務時間だからとか、制限はありませんが、業務に支障が出るような利用は常識的に控えなければなりません。
―― 「ソーシャル××」という言葉を最初に使ったのはIBMだと記憶しています。その面からもソーシャルを推進していく立場にありますね。
我妻 日本の多くの企業では、過去に情報セキュリティに対する事件や報道が続いたことから、セキュリティに関する問題は企業のブランドイメージやレピュテーションリスクがあるということで、過度に慎重になっているのが現状だと思います。情報セキュリティ対策のために、山のようなルールを作り、投資を続けてきましたが、有効性の点で疑問視されたり、かえって自分たちの手足を縛っている感があり、窮屈になってきていることから、揺り戻しがきている状況です。
経営者も、BYODやモバイル、ソーシャルの分野に正面から取り組まないと、企業経営そのものに影響があると認知しています。特にソーシャルは、どこまでが業務で、どこまでがプライベートかを判断するのは難しいのですが、IBMとしては使った方が、メリットがあると判断しています。
情報セキュリティ対策上、ログなどの解析に必要なデータは確保していますが、それをすべて調べるのは非効率的であり、思わぬ相関関係の発見などは現実的に人手ではやりきれません。そこで、情報セキュリティ上のリスクが伴うコミュニケーションはどれか、さまざまなデータをつなぎ合わせてパターンを発見し、予測・予防的にリスクを最小化するための「情報セキュリティ・インテリジェンス」にも取り組んでいます。
情報セキュリティパートナーを選ぶポイント
―― 企業は、今後どのような情報セキュリティパートナーを選べばいいのでしょうか。
我妻 実際の取り組みで培った経験やノウハウを生かした情報セキュリティ対策を提案してくれるパートナーなら頼りになると思います。例えば、新しいテクノロジーが登場すると、それに対する情報セキュリティを考慮する必要があります。このときプラスとマイナスの面がありますが、それぞれのポイントを押さえてアドバイスしてもらえると助かります。
また、企業が情報セキュリティ対策を導入する場合には、テクノロジーだけはない、組織内の事情やビジネスなどさまざまなポイントを考慮することが必要になります。本当に必要な情報セキュリティ対策とはどのようなものなのかをグローバルかつ組織横断的な視点で提案してもらえればありがたいですね。さらに、情報セキュリティ上の問題が発生したような場合に、専門家による迅速かつ適切な対応の支援も今後はさらに必要性が増すと思います。
情報セキュリティに100%はありません。最近では分析技術が発達し予測して取り組めることも増えましたが、予測できない新たな脅威も含めてすべてのリスクを未然に防止することはできません。そこでリスク回避はもちろん、発生したリスクの影響を最小化し、収束させるかを、わたしも常にお客さまと一緒に考えていきたいと思っています。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本アイ・ビー・エム株式会社
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2013年8月31日