現代の業務環境において、コラボレーションは極めて重要ですが、方法を誤ると、コラボレーションによって安全が脅かされる可能性があります。このブログでは、セキュリティを低下させることなく、職場でのコラボレーションを強化する方法を提示します。
誰かに職場における健全性のために重要なことは何かと質問してみてください。おそらく、コラボレーション、あるいはその同義語であるチームワークという言葉が返ってくるのではないでしょうか?
チームワークは、オフィスを居心地がよくて機能的なものにするには不可欠です。コラボレーションを強化することはいつでも優先されるべき課題ですが、クラウドコンピューティングとプラットフォーム・アズ・ア・サービス (Platform as a Service、PaaS) によって、日常業務でのコラボレーションは容易になりました。
ですが、コラボレーションの緊密化には、手放しでは喜べない面があります。適切な予防措置が講じられなければ、異なる立場の多くの人たちがオープンにやりとりできる環境は、特に機密性の高いデータを扱う場合、セキュリティ問題が生じる可能性があります。
機密データが、クレジットカード番号や医療データなどに限られるわけではないことには十分注意が必要です。GDPRの時代には、電話番号や電子メールアドレスを含むスプレッドシートでさえ、適切な方法で扱われなければ、深刻なセキュリティ問題やコンプライアンス問題につながり、高額の罰金を科せられる可能性さえあります。
コラボレーションに伴うセキュリティリスク
上述のように、コラボレーションに付随して懸念されるのは、機密データの不適切な処理がセキュリティやコンプライアンスの問題を引き起こしかねない点です。
昨今では、セキュリティ問題において最も脆弱性を危ぶまれるのは、ファイアウォール、アンチウイルス、SIEMなどではなく、人間が関与する部分であるというのは、常識になりつつあります。重大なデータ侵害が、繰り返し、単純な人的ミスによって引き起こされています。機密情報が満載されているS3バケットをロックして守ることを忘れ、 患者のデータを Google Drive を介して共有し、フィッシング攻撃の被害にあうのは、いずれも人間です。実際、Verizon の2018年データ侵害調査レポートによれば、企業は、システムの脆弱性を狙った攻撃よりも 3倍以上の確率で、ソーシャル攻撃(人を対象とする攻撃)によって被害を被っています。
コラボレーションによって機密情報にアクセスして使用できる人間が増えれば増えるほど、データ漏洩のリスクは指数関数的に増加するというのは、認識すべき紛れもない事実です。
シャドーITの回避
コラボレーション、BYOD、クラウドコンピューティングなどが時代の趨勢になっている状況において、シャドーIT は大小さまざまな組織にとって永続的な問題となっています。ファイアウォールの境界設定があいまいになり、自分のデバイスを仕事に使うことが可能になったり自宅から仕事をすることができるようになったりすると、ユーザーは提供されたツール以外のテクノロジーを使用できないかと考えるかもしれません。遍在する無料クラウドストレージツールは、この問題に拍車をかけます。オフサイトで働いている2人のユーザーが多数の大容量ファイルを共有する必要がある場合、最初に思いつく方法は、普段使っているツール、つまり、Dropbox や Google Drive など、を使うことかもしれません。無料ツールが厳密なコンプライアンス基準を遵守しているはずはなく、不適切な設定によりセキュリティリスクを高めます。
ユーザーが、IT部門が関知しないツールを使用するシャドーITは、コントロールできない点で非常に危険です。IT部門としては、極力ユーザーがシャドーIT を使わないようにしたいところですが、そのためにはどうすればいいでしょうか。それは、ユーザーに必要なツールを提供することで実現できます。ユーザーが必要とすることが、スムーズにできる限り簡単に達成できるソリューションを見つけてください。
たとえば、大量の機密データを転送する必要がある場合、MOVEit のようなマネージド・ファイル・トランスファー・ソリューションは、エンドツーエンドの暗号化と監査証跡によってセキュリティを維持しながら、ユーザー自身が転送を行うことができます。
安全なコラボレーション文化の醸成
ユーザーが適切なセキュリティ予防策を講じなければ、コラボレーションによってセキュリティリスクは増大します。ですが、だからと言って、コラボレーションをまったくなくしてしまう必要はありません。要は、制約でがんじがらめにしなくても社員がセキュリティを当然のこととして第一に考えるような安全なコラボレーション文化を培っていくことです。安全なコラボレーション文化を醸成するには、どうすればいいでしょうか?
一朝一夕には達成できません。業務を遂行するための適切なツールと、社員のトレーニングを組み合わせる必要があります。
トレーニングについては、理想的には、CEOを含めて社内構成員の一人ひとりが、セキュリティとコンプライアンスに関する意識高揚のためのトレーニングを受けるべきです。予防的なメンテナンスという位置づけです。様々な脅威に関する情報を使用してユーザーに高いレベルの教育を行えば、高コストに結び付くミスを起こす可能性が低くなります。フィッシング詐欺メールについてしっかり理解するよう、また、機密データを安全でないチャネルから送信する前に機密データの重要性と扱い方を認識するよう、社員を教育します。偽のフィッシングメールを社員に送信し、簡単にクリックしてしまった社員には、セキュリティ意識向上のトレーニングを受けるよう促すメールを送るといった方法もあります。
リソースを持っていれば社内で独自に教育システムを構築することもできますし、教育プログラムを外注することもできます。社員がセキュリティトコンプライアンスのリスクを正しく認識すれば、ビジネスを危険にさらす可能性は低くなります。
安全で簡単なファイル共有のための Secure Folder Sharing
ユーザーが安全にコラボレーションできるようにするには、それができるツールを提供することが不可欠です。転送するファイルに機密データが搭載されていれば、コンシューマーグレードのファイル共有ソリューションは使用するべきではありません。データをしっかり保護できる MOVEit のようなマネージド・ファイル・トランスファー・ソリューションが必要です。MOVEit は、誰が機密データへのアクセスと転送を許可されているかを正確に管理できるアクセスコントロールと監査証跡に加え、転送中および保管中のファイルのエンドツーエンドの暗号化を提供します。
MOVEit の新しいセキュアなフォルダ共有機能を使うと、ユーザーはネットワーク内外の誰とでもコラボレーションできる独自のセキュアな共有フォルダを作成でき、一方で管理者はアクセス認可をコントロールでき監査ログもとることができます。 MOVEit Client を使って、Windows、MacOS デバイスからシンプルなドラッグアンドドロップ式のデスクトップ共有ができ、他の MOVEit Transfer クライアントからもフォルダ共有できます。