本コラムも今回で最終回となる。今回は筆者自身が国内企業や行政機関の皆さま方と日々議論する中で感じる今後のサイバーセキュリティの展望についてお伝えしたい。
「コンシューマライゼーション」という言葉、本コラムをご覧頂いている方には説明は不要と思うが我々がプライベートで多用しているFacebookやTwitterをビジネスで有効活用する為にマーケティング手法として取り入れる取り組みである。事実、私自身ももともとはプライベートで始めたFacebookは半年もたたない内にお客様やパートナ様の多く「お友達」となられ、ビジネスに関連した情報発信が大半になっている。もともとこれを意図した訳でもないが、結果的にコンシューマライゼーションを身をもって体験している訳である。
コンシューマライゼーションの詳細は各専門家にお任せするとして、大枠としてクラウドの活用やSNS、ゲーミフィケーション等、カテゴリが分かれるが総じて言える事は「義務感」から生まれたものでなくプライベート利活用における「わくわく感」から生まれている。それらはiPhone/iPadに代表されるような直感的なUIが前提となっている。
今回のテーマとしているコンシューマライゼーションとセキュリティ、実はこれからどの企業も例外なく正面から取り組むべき課題になると確信している。元来、セキュリティは法令順守の観点における機密性や完全性の確保、ビジネスの可用性維持という観点があって対策を施す訳であるが、このコンシューマライゼーションは間違いなくこれからの新しいワークスタイルの中核になっていくであろう。それが故に現状の「ガチガチな規制」という考え方に早いタイミングで限界が生ずると推察する。
例えば現状はFacebookやTwitterをURLフィルタ等で厳しく規制したとしてもプライベートのスマートデバイスから就業時間中に「それ」を発信したら規制は出来ないし、更にセキュリティを強化するために「就業時間中は携帯(スマートデバイス含む)持込みや使用を規制する」という方針を立てた時点で社員から猛反発が出る事は確実である。更に規制が規制を生み、本来はビジネスの効率性を高める事を支援するスマートデバイスやコンシューマライゼーションという素晴らしいソリューション(考え方)を自ら否定し結果的にビジネスチャンスを失ってしまうという事である。そうは言っても、、、というお声が聞こえてきそうであるが既にコンシューマライゼーションに関してはグローバルの必然的な流れでもあり、一企業や行政が反対してもその流れは変わらず確実に我々のビジネスの中へ浸透してくるであろう。ここ数年の成功したビジネスモデルを見ていても分かるように、コンシューマから派生した「それ」はビジネスへシフトとしても利用者側が全く違和感もなく心地よいので非常にスムースに溶け込み、利活用が促進されている。逆にベンダー主導のソリューションは規制が多く利用者側の「違和感」が大きいので結果的に経営陣の狙い通りの効果を上げにくいというケースも散見される。
よくCIOの方々とご意見交換させて頂く際に話題とする現状のビジネススタイルを5年前に想像できたか?というご質問をさせて頂くが、100点満点で予想出来たという方にお会いした事はない。私が言うまでもなくグローバルでは猛烈な勢いで変化している。BYODに関しても国内現行法では確かに適用においてはハードルが高いのもの事実であるが、規定の業務には利活用を認めたいという声も多く聞こえるようになり、利活用シーンに基づいた適切なセキュリティ対策を施すというワークスタイルが数年後は一般化しているかもしれない。
コンシューマライゼーションとセキュリティ、先日であるがこの課題に対して某社がブレーンストーミングを実施し私もセキュリティアドバイザーとして出席したがその時に導き出した答えは「規制」から「統制」という考え方である。コンシューマライゼーションはもともとわくわく感や楽しみがありそういった「モチベーション」をビジネスで有効活用する事をセキュリティが「規制」すなわちスポイルしてはならないという事を前提に「統制」すべきである、という答えである。専門的に表現すると「モニタリング」に準ずる内容であるが、モニタリングは実施するが規制をせず、社内に自由度を最大限与えていくという従来の考え方と180度違う考え方である。これは我々の現実社会と一緒で日々生活する中で何らかの罪を犯すと警察が出動するように、社員に自由度、すなわち明示的な「責任」を持たせると同時に万が一の事態においては責任を自ら取って頂くという当たり前のアプローチをITに組み入れる考え方である。それを単純に「性善説」と言われる方もいらっしゃるかもしれないが、旧来の性善説は企業や行政がモニタリングという責任を果たさない為に犯罪が見えず、責任を追及できないが「いざ」という時には責任を追及するポリシー定義と実行力は企業や行政が持つ、という事が前提である。それが故に例えば先回のコラムでお伝えした既にプライベート端末持込みの為にBYOD環境下に置かれた企業や行政機関はモニタリングの責任は既に生じているという事である。
セキュリティ対策という名目の元、「ガチガチの規制」によって著しく利便性が低下しグローバルの流れに後れを取らない為にも、規制でなく統制の徹底によって利便性を逆に高めつつ、但し警察のように違反者にはしっかりと罰則を受けるという法律(ポリシー)を周知し、その仕組みを構築する流れが今後は増えるのではと感じている。こういった指針や考えはIT部門のみならず企業経経営層による事業戦略によって定義されるレベルの内容である事は言うまでもない。
「規制」から「統制」へ、安全性と利便性のトレードオフは許されない時代が間もなく訪れようとしている。
Follow CIO on Twitter
Fan CIO on Facebook
RSS
記事一覧
Header_Social_Icon