Sponsored Contents

microsoftの最新記事

Image credit:
Save

IT管理者と現場ユーザーの「仁義なき戦い」を終わらせるには? MS Tech Summit 2018で澤氏が語る

多要素認証に慣れてもらうことが重要

Marika Watanabe
2018年11月15日, 午後05:15 in microsoft
70シェア
0
70
0
0

連載

注目記事

HomePodレビュー。Apple MusicとSiriが家に来るスマート高音質スピーカー

HomePodレビュー。Apple MusicとSiriが家に来るスマート高音質スピーカー

Ittousai, 8月13日
View
 ソニー「WF-1000XM3」が売り切れまくる理由に納得。ノイキャン性能爆上げイヤホンでした

ソニー「WF-1000XM3」が売り切れまくる理由に納得。ノイキャン性能爆上げイヤホンでした

View
昨今様々なところで言われる「働き方改革」ですが、社内のセキュリティを一手に担うIT管理者(ITプロ)にとっては、これを推進すればするほど、ユーザー側のさまざまな時間や場所での仕事をカバーしなくてはならなくなり、ストレスを感じる要素ともなります。

どこでも仕事をできるようにするには管理するデバイスの数が増えますし、場合によっては現場サイドで勝手に導入された「シャドーIT」――管理者からは見えないハードやアプリ――が幅を利かせていたりするからです。

そんな働き方改革とセキュリティの仁義なき戦いで、どこで折り合いをつけるのか......。日本マイクロソフト主催のイベント「Microsoft Tech Summit 2018」最終日に、こうした問題の解決を目指す、興味深いセッションが行われました。

ユーザー部門(現場)とIT部門の対立を
いかに回避するか


真っ赤なスーツに身を包んで現れたのは、日本マイクロソフト マイクロソフトテクノロジーセンター センター長の澤円(さわ まどか)氏。
「赤って警告の色でしょう? それを強調するために、新調したんですよ」という澤氏。「奥さんがこの姿を見て『あなたはいくら派手にしても誤差でしかないわね』と言うんですよ」と場をあたためます。

しかし、話題はすぐに現場 vs. ITプロの戦いに移っていきます。

「出勤途中、仕事モードになっていることもあり、価値を生み出さない移動時間中に仕事をしたいと思うのがビジネスパーソン」と澤氏。「PCを出せないから、スマホを使う。使い慣れたLINEやMessengerのグループ会話で仕事の段取りを決めていく」と、あるあるストーリーを展開していきます。

mts_02

でも、頭を悩ませるのがIT部門です。「セキュリティが確保できないツールで仕事しないで!」となるわけです。

mts_03

できるだけ短い時間で効率よく仕事をして会社に貢献したいと思っているユーザー部門と、セキュリティを一手に引き受けているIT部門。それぞれの正義で言い分があるわけです。

IT部門:管理していないソフトウェアを使うのは危険でしょう!
ユーザー部門:社内ITが使いやすけりゃこんなものは使わないよ!


mts_04mts_05

やがて、戦いは白熱していき、それぞれ言ってはいけない反則ワードを出してしまいます。

IT部門:そっちのリテラシーが低すぎるんだよ!
ユーザー部門:コストセンターのくせに指図しないでくれ!


mts_06mts_07

こうして生まれた亀裂はセキュリティリスクにつながる、と澤氏は警鐘を鳴らします。

社員のITリテラシーを頼りにせず「運用でカバー」もしない


では、どうすれば働き方改革を推進しつつ、セキュリティリスクを減らすことができるでしょうか。

澤氏は「相手を悪く思うのではなく、それぞれ仕事がしたいだけだ、という共通認識を持つことが大切」と言います。

そのため、「故意でなければ、セキュリティインシデントを叱責するようなことを避け、そのかわり、組織に貢献したいと考えているユーザー部門の利便性を図るようなシステムデザインを組んでいくようにすべき」と述べます。

mts_08

「仕組みやルールが、短時間で成果を上げられるようになっていない企業が多い。PCを持ち出すのに複雑な申込手順が必要だと、その時間がもったいないから、手続きせず持ち出して事故が起きる。基幹システムに入りづらいから、使い慣れたMessengerなどで業務を行ってしまう。

mts_09

使いやすく、彼らがより一層活躍できるようなツールを提供することこそ、ITプロの義務なんです」(澤氏)

となると、次に浮かぶのは「どのようなデザインならよいのか」という疑問です。

それに対して、澤氏は「鉄則は"ユーザーのITリテラシーに依存しないこと"」だと言います。ITリテラシーに依存する、ということは、そのレベルにユーザーが引き上げられるまでに時間がかかり、スピードが犠牲になってしまうからです。

mts_10

澤氏は、自社――つまり、Microsoftの実情を「みんながみんなITリテラシーが高いわけではない」と明かします。「うちも会社ですから、会社員たちは自分の仕事をする。その仕事においてはプロだけれど、Azure組んで、リソース作成して......なんていうリテラシーは求められていないんですよ。トッププライオリティは自分の仕事ができることで、ITリテラシーなんて、二の次なんです」と説明しました。

もうひとつ大切なことが「運用でカバーしようと思わないこと」だと澤氏。「間違いをおかさない人間はいない。ミスを防ぐために人を増やし、二重三重のチェックをすれば、そのぶんミスが増えるだけだ、と思ってください」と話します。

「もし、IT部門が『運用でカバーだ!』と言いはじめたら、赤信号ですよ。ちょっと止まって考え直すようにしましょう」(澤氏)

mts_11

とはいえ、ツール以前に絶対にやっておいてほしいことがある、と澤氏は言います。それは「セキュリティ問題が自分ごとであると理解してもらうこと」。

それを説明するために、澤氏の奥さんが独身時代に空き巣に入られたという事例を挙げました。女性だけが入居しているアパートで、全室で取られたものは使いかけの香水。「まさか使いかけの香水が取られるとは思わなかった」と誰もが考えたそうです。

でも、盗む側にとってみれば、必要があるから盗んだまでのこと。被害者の思わぬところで、需要はあるものなのです。

「わたしたちが思いもしないところに脅威はあるんです」と澤氏。「狙う側に意図があることをそれぞれが意識するよう、IT部門はユーザーに理解してもらうようにしてほしい」と、実例から教訓を導き出していました。

99.9%リスクを減らせる多要素認証への慣れが重要


とはいえ、ユーザーが危機管理意識を持って、パスワードを強固なものにしていれば問題が解決するというわけでもないようです。

「たとえ複雑なパスワードをかけていても、攻撃者は入手した情報を元に少しずつターゲットを絞っていき、アカウントの乗っ取り、そこからの一斉メール送信、さらに送信先の人々のユーザーID・パスワードの取得を容易に行なえます」と澤氏は解説します。

mts_12

そのため、IT部門にやってもらいたいのが「多要素認証を身近に感じてもらえるようにすること」だと澤氏。「多要素認証すれば、セキュリティリスクは99.9%避けられるんですよ」と具体的な数字を挙げます。

mts_13

多要素認証というと敬遠されてしまうため、まずユーザーたちが普段使っているSNSを多要素認証にするようサポートしてあげてほしい、と澤氏。

「1回設定すれば難しいことないというのも理解してもらえるし、面倒なわけではないこともわかる。何より、いつも使っているSNSということもあり、多要素認証を身近に感じてもらいやすい。『やりなさい!』って口で言うだけじゃなくサポートしてあげればハードルもぐっと下がる。さらに、多要素認証することで、危機管理意識を高めるのにも有効なんです」(澤氏)

mts_14

「致命傷の定義」を共有すれば戦いは収束できる


「Microsoftでは、自分の好きなマシンを"自腹で"買って業務に利用できる」と澤氏。「華麗なる自腹文化です」と笑いを誘います。

でもこれは、セキュリティを管理するIT部門にしてみれば管理が大変なのでは? という疑問が生じます。

澤氏は「Microsoftには"べからずルール"がないんです」と言います。「あれやっちゃだめ、これやっちゃだめ、ではなく、基幹業務にアクセスする際に必ずドメイン認証をしてね、というたったそれだけを守ればいいという認識なんです」と解説します。

mts_15

続けて「大切なのは致命傷を受けないようにすること。いかにIDを守るか、ということ」と付け加えます。「セキュリティインシデントが起きるのは仕方ないので、そのことで叱責しないでください。叱責すると、萎縮してしまい、シャドーITの台頭につながりますから」。

mts_16

さらに、致命傷を受けないために必要なのが「何が致命傷足り得るのかを言語化し共有化すること」と澤氏。「知っていれば、知っていないよりはるかに意識が高まります。むしろ、べからずルールを長々と話すより、守るべきポイントが明確にわかり、すべきこと、してはいけないことを意識付けられるんです」と説明します。

ユーザー側でもしておくことがあります。それは自分の端末を常に最新の状態に保つこと、アップデートです。

mts_17

「セキュリティ保護の面で完璧はありえません。あるのは"現時点での最強"です。最強を目指すためにアップデートがあればアップデートする。そういうマインドセットを持ってもらいたいですね」(澤氏)

IT部門の心構えとしては、日本マイクロソフトCSO河野省二氏の「セキュリティソリューションはプラットフォームに組み込まれるべき」という言葉を引き合いに出した澤氏。

「PCの持ち出し禁止、USBメモリースティックの使用禁止、というのは後付けのルール。プラットフォームに組み込まれていない。だから付け焼き刃になってしまい、戦いが起きる。そうではなく、プラットフォームの中に組み込んで、自然に使えるようにし、ユーザーの不満を募らせない設計にすべきなんです」と説明します。

mts_18

続けて、「手段と目的を明確に切り分けましょう。IT部門とユーザー部門で共通理解を得て、活躍したいと思っている人の邪魔にならないようなツールを作りましょう。そうすれば、自分たちも安心して運用の仕事ができるんです。Microsoftのサービスは、設計思想のベースにセキュリティ思想があり、どのサービスにも真面目に入っています」と自社製品をアピールした澤氏。
ユーザーにとって使いやすく、生産性の上がるものであれば、この仁義なき戦いも終わらせることができることを強調して、セッションを終えました。

実は澤氏、本題が終わってから「テクノロジーについてわかっている人はわかっているなりに、そうでない人もどうすればハッピーになれるか考えながら、お互いに良い未来を築いていきたい」と、AIの未来について語っています。

それはお互いに「わからない」「理解できない」「無理」と考えず、歩み寄って自分のわかる範囲でできることを考える、というセッション内容と共通していると感じさせるものでした。

mts_19




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

関連キーワード: event, events, microsoft, security
70シェア
0
70
0
0

Sponsored Contents