シャドーＩＴ×ウェアラブル×BYOD、システムで制御することの限界

シャドーIT×BYOD スマートウォッチは既に幾つものメーカーから登場していますが、Apple Watchの登場により、世間の注目度は俄然上がったのではないでしょうか。

スマートフォンも大画面化、タブレットもパソコンも薄く・軽くなり、もはや数え切れないくらいの種類が登場、更にスマートウォッチを使うのも当たり前ともなってくれば、誰もが一人一つくらいは高性能なデジタルデバイスを持っているのが日常の光景となる。というのも、もはやそう遠くない未来と言えるかもしれません。

便利なデバイスがあれば使いたいと思うのが人のサガ

鞄には高性能な私物ノートパソコンやタブレット、腕にはこれまた高性能なスマートウォッチ、ネットには常時接続していて、情報収集やデータ処理はいつでもどこでも自由自在。

ともなれば、これはもう、オフィスを持ち歩いているのと同じ。

しかも、私物のデバイスともなれば、常時触れていて、自分の使いやすいようにカスタマイズもしているので、会社のパソコンを使うよりも断然慣れていて使いやすい。

これだけ好条件が揃っていたら、仕事も自分のパソコンでこなしたい。と考えるのも自然なことです。

それゆえ、会社にナイショで端末を社内ネットワークに繋いだり、クラウドを経由してデータをやりとりしたりするなどの方法で、会社が公式に認めていないデバイスを仕事に使う人が増えている。というのもまた、自然なことかと思います。

当人が自覚してやっているかどうかはともかく、会社が認めていないデバイスを業務に持ち込むことは、「シャドーIT」として問題視されていますが、誰もが高性能な端末を持っているともなれば、BYODとして活用していくというのは、もはや時代の流れとして止めようがない事のように思います。

システムでの制御が万全だと言い切れるでしょうか？

社内ネットワークに勝手に私物端末を繋がれては困る。ということで、許可されていないデバイスは接続できないようにする仕組みはありますが、ひと昔前とは違い、把握しきれないほどの種類のデバイスが次から次へと登場してきている今となっては、あらゆるデバイスについて、社内ネットワークに繋がれても大丈夫かどうかを確認するのはもはや不可能です。

ハードウェアのみならず、ソフトウェアの組み合わせまで考えたら、私有端末は許容しない仕組みを入れているからと言って、絶対に安全だと言い切れる管理者はいないのではないかと思います。

ベネッセの情報漏洩の件も、USBメモリーへの複製を禁止していたはずのPCに、私物のスマートフォンを繋いでみたら、あっさり繋がってデータがコピーできてしまったというのがコトの発端だったわけですから、今後ますます様々なデバイスが登場してくる流れの中にあっては、システムで制御する方法には自ずと限界があると考えるべきでしょう。

最も危惧すべきは、いいね！と思って使い始める人達

そして、BYODの流れの中で最も厄介なのは、マーケティング用語で言うところの「アーリーアダプター」と言われる人達の存在です。

「イノベーター」に分類される、IT知識に長けた人達は、IT技術とそのリスクを十分分かった上でデバイスを利用するので、リスクを回避する、また、最小にする方法も分かっています。

しかし、「イノベーター」のすることを見て興味を持ち、真似をしようとする「アーリーアダプター」の人達、言い換えると、いいね！と思って使い始める人達は、「イノベーター」ほどに知識を持ち合わせているわけではない可能性があり、事象の裏に隠れているリスクなどについては全く知らずに、ただ、「便利そうだから」という理由だけで「イノベーター」の真似をするということはなきにしもあらずです。

本質を知らずに、うわべだけを取り入れる「アーリーアダプター」を見て、それに追随する「アーリーマジョリティ」の人達が登場すれば、目には見えない爆弾（リスク）がそこら中に存在する状態になるのは必至です。

具体的には、Winnyやバイドゥなどがいい例でしょう。リスクがあることを知らない人達が使い出した結果、あちこちで情報漏洩が発覚し、Winnyは今では導入禁止ソフトの代表例です。

だからこそ、人的リスクを最小化する取り組みが重要になる

標的型攻撃に対する対策については、多層防御など、システムによる防御の仕組みが華々しく宣伝されており、難しいセキュリティの話などについては気にしなくても良い仕組みこそが、ユーザーフレンドリーであり、理想的な仕組みであるといった風潮があります。

このような考えはまさに理想的であり、否定するつもりはありませんが、リスクを知らずに使うのと、難しいことはよく分からないけれど、リスクがあるということを知った上で使うのとでは、抱えるリスクの度合いは全く違ったものになるはずです。

システムによる理想の実現を追い求めることは間違ってはいないけれど、システムによる対策には限界もあるからこそ、それだけに頼るのではなく、人的リスクを最小化することにも心を砕く。

シャドーＩＴ×ウェアラブル×BYOD、こうした状況があたり前の状況になっていく時代だからこそ、演習の実施などによって、セキュリティに関する知識、目に見えないリスクの存在を心にとどめてもらうようにする。

こうした取り組みは、組織や従業員一人一人を守るためにも、これからもますます重要であり、システムが如何に便利なものになろうとも、疎かにしてはならないことなのではないかと思います。

←前の記事へ（え！そんなに？あなたが思う以上に大きい社内のリテラシー格差）
→次の記事へ（現場を捉え、開封率を指標とする訓練からの脱却を図ろう！）

サブコンテンツ

訓練実施コストの問題はキットがあれば解決できます！

標的型攻撃メールを実際に従業員に体験してもらう
「標的型メール訓練」は、組織全体のセキュリティ意識向上に
繋がります。標的型攻撃メール対応訓練実施キットは、
自前で実施するための方法・ツール・テンプレートによって、
外注に頼らず、自前で訓練を実施することを可能にします。

キット開発・販売元　縁マーケティング研究所

無料でキットをお試しいだける「キット評価版」をご提供しています

標的型攻撃メール対応訓練実施キットについて、自社でも使えるものなのかどうか、実際に使って確かめてみたい、また、キットが具体的にどのようなものなのか知りたい。というニーズにお応えするため、「キット評価版」を無料でご提供しています。

評価版を申し込んだからといって、しつこく売り込みをする。なんていうことはありません。是非、納得いくまでお使い頂き、ご不明な点などがあれば、どのような事でもお問い合わせ下さい。１社でも多くのお客様にキットを気に入って頂きたいからこそ、是非、納得いくまでキットをお試し下さい。

キットの評価版を入手したい方は、「キット評価版の詳細を見る」をクリックして、詳細ページにお進みください。

おかげさまで11年目　標的型メール訓練なら、標的型攻撃メール対応訓練実施キット! Since 2014

シャドーＩＴ×ウェアラブル×BYOD、システムで制御することの限界