1990年代後半には、従業員が自分のデスクトップコンピューターを使用して、自宅から企業ネットワークにダイヤルイン接続することが不安視されていました。何千もの記事や数百ものカンファレンスセッションでは、そのような行動にまつわるリスクについて議論されました。また、文書化されたポリシーや新しいツールを使用して、どのようにリスクを低減できるかが論じられました。
2000年になると、会社支給のコンピューターの代わりに、自前のノートPCをオフィス外や出先で使用する従業員に対し、同様の懸念が広がりました。さらに、何千もの記事や数百ものカンファレンスセッションで、そのリスクに対処する方法が話し合われました。
それから数年経って、スマートフォンが広く利用されるようになり、そのリスクを扱う記事やカンファレンスもさらに増えました。そして間もなく、従業員たちは、1台のみならず、複数のスマートフォン、タブレット、ノートPC、ウェアラブルデバイスを、個人の目的だけでなく、仕事にも使用するようになりました。
従業員が職場やビジネスで使用する新しいテクノロジーの種類は今後も飛躍的に増え続けていきます。そして、それらのデバイス上では、従業員の個人用データとビジネス用データがさらに混ざり合っていくでしょう。企業は、このようなハイテク機器を使用する従業員にどのように対応できるでしょうか。ビジネスデータと個人用データをどのように分離することができるでしょう。そもそも分離することなどできるのでしょうか?
従業員が接続する方法はますます複雑化しています。たとえば、
従業員たちが、企業ネットワークや企業の施設、あるいは管理者の視界から離れ、リモートで仕事をするケースが増えているために、彼らがアクセスするあらゆるビジネスデータへのリスクが急激に高まっていることから、事態は複雑化しています。
従業員たちが、何も疑問を抱かずに、デフォルト状態のまま使用している新しいデバイスや技術のために、セキュリティリスクと企業の攻撃対象領域が拡大しています。
それでは、私たちはまず何をすべきでしょうか。
詳細なリスク評価を行い、まずは以下の問いへの答えを見つけましょう。従業員はどのようなタイプのデバイスを使用しているか?それらのデバイスの何台が会社所有、従業員所有、あるいはそれ以外の所有者のものか?
このリストのチェックが完了したら、深く掘り下げたリスク評価を行い、軽減する必要のあるリスクやギャップがないか確認します。あるいは、もしツールを既に持っていて、以下に挙げたアクションを実行している場合は、すぐに深く掘り下げたリスク評価を行いましょう。
次に、特定したリスクを許容できるレベルまで軽減するために、セキュリティおよびプライバシーポリシーを文書化する必要があります。そこには、ビジネスに影響を与える可能性のある、従業員が使用するすべてのタイプのデバイスに対するルールを盛り込みます。さらに、それらのポリシーをサポートするための手順を文書化します。
文書化されていないポリシーと手順は、存在しないに等しいことを忘れないでください。少なくとも、御社の情報セキュリティおよびプライバシープログラムのレビューを行う顧客、取締り機関、監査員はそのように考えます。従業員が自分のデバイスをさまざまな場所で使用することで生じる問題に対するポリシーや手順も盛り込む必要があります。
さまざまなツールを検討します。以下にその一部を紹介します。
効果的なトレーニングが行われなければ、従業員は何をすべきかがわかりません。効果的なトレーニングを実施することが重要です。従業員にただ文書を読むよう指示しただけでは、トレーニングにはなりません。効果的なトレーニングを実施する方法は、数多くあります。
トレーニングから時間が経つにつれ、従業員たちはデータのセキュリティや、個人情報の保護について考えが及ばなくなります。データとプライバシーを保護しながら業務を行う必要性を従業員が忘れないように、頻繁にコミュニケーションを図る必要があります。情報セキュリティと機密情報の保護に常に意識を向けさせるための方法は数多くあります。
デバイスの使用方法に関するルールと、個人データとビジネスデータを管理する方法を確立したら、それらのルールの効果を確認する必要があります。ルールを作れば、皆が従ってくれるだろうと考えてはいけません。ルールに従わないことを選ぶ人もいるでしょう。ルールを理解していない人、ルールに気づいていない人、ルールを忘れてしまう人、ルールを知っていても間違った行動を取る人もいます。そのような従業員は、インシデントを発生させ、ビジネス情報の流出までも引き起こすことになるでしょう。従業員が自分のデバイスをさまざまな場所で使用する際のポリシーおよび手順の効果を、よく監視しなければなりません。
企業は、広範なテクノロジーやデバイスの使用に関する最新の傾向に基づいて、現在のリスクと新しいリスクを常に把握していく必要があります。また、そのようなテクノロジーの使用に関するルールが文書化され、実践されていることを確認しなければなりません。
執筆者について:システムエンジニアリング、情報セキュリティ、プライバシー&コンプライアンスに関する25年以上の経験を持つRebeccaは、2004年に自らが立ち上げたコンサルティング会社「The Privacy Professor®」のCEOです。また、2014年に共同設立した情報セキュリティ、プライバシー&コンプライアンスをクラウドで提供する「SIMBUS, LLC」のプレジデントでもあります。Rebeccaは、SIMBUSのアーキテクチャーおよびその関連サービスの設計と開発を行いました。これには、従業員や請負業者向けの情報セキュリティおよびプライバシーに関するオンライントレーニング、ベンダー管理、リスク管理評価、ポリシーと手順、プログラム管理タスク、侵害対応、監査マネジメント、従業員管理、インベントリー管理が含まれます。 彼女は、19冊の書籍の著者であり、プライバシーに関する最近の2冊、『ISACA Privacy Principles and Program Management Guide』および『Implementing a Privacy Protection Program: Using COBIT 5 Enablers With the ISACA Privacy Principles』は、2017年にISACAから発行されたものです。他の数十もの本・雑誌にも、数百もの記事を寄稿しています。
Rebeccaは、米国国立標準技術研究所(NIST)のスマートグリッドプライバシーサブグループを7年間に渡って率い、NIST初の電気グリッドサイバーセキュリティのOpenFMBテストを実施しました。また、IEEE P1912 Privacy and Security Architecture for Consumer Wireless Devicesワーキンググループの共同創始者であり役員を務めました。数多くの諮問委員会にも参加し、NIST Privacy Frameworkワーキンググループのメンバーでもあります。さらに、朝のテレビ番組「KCWI 23」に定期的に出演するとともに、Voice Americaのラジオショー「Data Security & Privacy with the Privacy Professor」では毎週ホストを務めており、さまざまな本・雑誌で彼女の言葉が引用されています。情報セキュリティ、プライバシー、コンプライアンス分野のエキスパートウィットネス(専門家証人)も務めた経験があります。 数学、コンピューターサイエンス、教育の学位と以下の資格を保持しています。CISM、CISA、FIP、CIPT、CIPM、CIPP/US、CISSP、FLMIPonemon Instituteの特別研究員でもある彼女は、アイオワ州デモインを拠点に活動しています。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。