クラウドストレージの現在地｜セキュリティと効率性を両立させるコロナ後の働き方とは？｜ブログ

sample image 写真左から NRIセキュアテクノロジーズ小坂土屋　Box Japan 結城氏

一度身に付いた習慣を変えるのは困難ですが、働き方が激変した中、合理性に欠けた習慣やIT環境を使い続けていても無用な手間やコストが膨らむことになるでしょう。デジタルワークプレースが当たり前という時代を見据え、私たちはどのように変化していくべきでしょうか。

Box Japanのパートナーソリューションエンジニア結城亮史氏をお招きし、NRIセキュアテクノロジーズのセキュリティアーキテクチャコンサルティング部に所属する小坂充、ファイルセキュリティ事業部の土屋亨とともに考えてみました。

コロナ禍が劇的に変えた働き方とビジネスのスピード感

Q：この数年、企業を取り巻く環境はどう変化したでしょうか？

土屋：やはり大きな影響を与えたのはコロナ禍です。以前からの働き方改革やデジタル化といった流れが、コロナ禍を機に一気に加速しました。働く場所を自由に選択し、生産性を向上させるデジタルワークプレースというものが、数年前倒しで実現されたように思います。

結城：同感です。コロナ以前の取り組みは今から思えばやや緩いものでしたが、コロナによって、ある意味強制的に、一気に数年分進むほどのスピード感で働き方が変化したように思います。

fig-0490

Box Japanのパートナーソリューションエンジニア結城亮史氏

小坂：質的な変化もありますね。VPNでオフィスに接続する以前のテレワークは、執務室で仕事をするやり方の延長線上にありました。しかしコロナ後は、自宅だけでなく、移動の合間などいろいろな場所で仕事をするようになっています。利用するツールも多様化し、PCだけでなくスマートデバイスを利用したり、ファイルサーバだけでなくBoxのようなクラウドストレージやWeb会議を使ったりと、場所とツールを流動的に変化させながら仕事をするようになりました。

土屋：

私がわかりやすくビジネススピードの変化を感じたのは、顧客商談や社内会議の日程調整です。前後の移動や関係者が多いと二〜三週間のスパンだったものが、オンラインでコミュニケーションを取ることがよしとされるようになり、一週間後でもどんどん予定を組めるようになりました。

その結果、１案件あたりにかかっていた社内外の意思決定に至る時間がぎゅっと圧縮され、一段とビジネスの速度が加速したなと感じます。社会もいまやこうして向上したスピードをデフォルトのものと捉えつつあるように思います。

結城：テレワークとオフィスワークを組み合わせた働き方がいかに合理的で効率的かを、皆が体験した今、後戻りすることはおそらくないでしょう。いかにハイブリッドワークを最適化していくかというフェーズに入りつつあると思います。

Q：もう一つのここ数年の変化として、パスワード付きZIPファイルとそのパスワードを別々のメールで送るPPAPという慣習から脱却する動きもありますね。

土屋：国からのメッセージ発信もきっかけに、PPAPが効果がある形で運用されておらず、国全体の生産性を低下させているのではないかということが世間一般に認識され始めました。本質を考えず、今までのやり方をただ継承していた劇場型セキュリティを考え直す動きにつながっているように思います。

結城：PPAPは生産性の観点からはもちろん、セキュリティの観点でも合理的ではないことに気付きながらも、一度根付いた習慣を改めるのはなかなか難しいことでした。そこに、政府のかけ声があったのはよかったことではないでしょうか。

ミス、そして故意による情報漏洩のリスクも

Q：一方で、一連の変化に伴って高まるリスクもありそうです。

土屋：

ビジネス活動からは必ずコンテンツが生まれ、その周辺にコラボレーションが生まれます。ハイブリッドワークが進みビジネスのスピードが速まった結果、業務の一環として、以前に比べ大量の社内コンテンツが社外環境に出ていくようになりました。

そうしたコンテンツの持ち出しをハンドリングしているのはヒトであり、ヒトは一定の確率でミスを起こします。社外とやり取りするコンテンツの総数が増えると、誤ってデータを持ち出してしまうヒューマンエラーも比例して増え、情報漏洩リスクがより高まっている側面はあると思います。

NRIセキュアテクノロジーズファイルセキュリティ事業部土屋亨

Q：故意の持ち出しも起こり得ますね。

土屋：通常ならば教育やモラル、周囲のけん制が働くはずですが、例えば慌てて導入したコラボレーションツールに意図せず大きな権限が与えられていたり、目先の利便性を重視して、誰もが見られるフォルダに本来入れるべきではないファイルまで格納してしまうなど、ほんのわずかな操作で不正を働ける環境が整ったともいえます。

小坂：オフィスで働いていた以前は、他人の目があり、持ち出しができるなどとは意識もしなかったでしょう。しかし皆が在宅で仕事をするようになり、その気になれば何でもできることに気づき始めたかもしれません。

fig-0534

NRIセキュアテクノロジーズセキュリティアーキテクチャコンサルティング部小坂充

結城：例えば転職を考えているときに目の前に情報があり、周りには誰もいないとなると、それらの情報にアクセスして参照することに罪の意識が発生しづらいかもしれませんね。

セキュリティ対策に投資するため生産性や利便性という果実も追求

Q：こうしたリスクや課題がある中、利便性とセキュリティを両立させ、コラボレーションを加速するポイントは何でしょうか。

土屋：脱PPAPだけにフォーカスしてしまうと、「世論に合わせて代替するにしても、いまのところ使えているのだからコストはかけられない」という意見に押され、新たなソリューションを導入するモチベーションが見出せなくなりがちです。重視すべきはやはり、生産性向上という「果実」だと思います。アナログな手作業を減らしてビジネスのスピードを向上し、将来に渡る作業時間や人件費も減らせるうまみを評価する。弊社であれば、クリプト便やコンテンツクラウドBoxといったツールへのご相談が増えています。

結城：一般にセキュリティ対策では制約をかけ、使いにくくする方向に向かいがちですが、それでは本質的な問題解決にはなりません。セキュリティを担保し、かつ今までよりも使いやすく、生産性向上に役立つツールであることが望ましいでしょう。Boxはまさに、その使いやすさを徹底的に考えて作られています。ファイル共有だけでなくコンテンツ管理という観点でもさまざまなメリットがあり、その一つとして脱PPAPを実現できることも強みになります。

土屋：

我々は長年代理店としてBoxを提案してきた一方で、自社製品としてクリプト便も展開しています。それぞれ製品の思想が異なり、自社のセキュリティの考え方に応じて選択していただければと思います。

クリプト便は、情報漏洩リスクの高いデータの社外持ち出し経路を集約し、安全に行えるように開発したクラウドサービスです。ファイル交換に特化したシンプルな設計で、承認機能、権限設定などのヒューマンエラーを減らす工夫を盛り込んでいます。あくまでファイルを安全に届けることが目的であって、一定期間後にはファイルが削除されるなど役目の終わったファイルをクラウド上に残し続けない設計になっています。

一方Boxは、あらゆる企業コンテンツをクラウド上に蓄えて管理することのメリットを最大化する製品です。コンテンツが社内外のあちこちに分散していると、それだけで生産性が阻害されます。必要なものは一つの引き出しに入れておく方が便利ですよね。そこでBoxはすべてのコンテンツを一箇所でセキュアに集中管理し、周辺のクラウドサービスと連携することでデジタル業務を増やし生産性を向上させます。

セキュリティに軸足を置きつつどこまで便利に使えるかを追求してきたのがクリプト便ならば、便利な活用で生産性を高める利点に主眼を置き、そのために良質なブレーキも用意しているのがBoxです。弊社ではお客様の置かれた環境や課題から最適な組み合わせを一緒に考えご提案しております。

結城：資産を自宅で保管するか、銀行で管理した方がいいかという議論がありますが、Boxのデータセンターでは、一般的な企業が単独で実行するには難しい高度なセキュリティ対策を行っています。お客様の情報資産を、プロフェッショナルが集まって構築し運用している環境の下で保護することで、お客様ご自身で管理する場合よりも安全な環境を実現しています。

ゼロトラストセキュリティの推進にも貢献

fig-0274

Q：こうした観点を踏まえつつ、この先、企業のITアーキテクチャはどう進化していくでしょうか。

土屋：

ひと昔前は自前でのシステム構築が前提で、根拠もなく「クラウドは危ないからやめよう」という雰囲気もありました。しかし今や企業の中で当たり前のように、それも一つや二つではなくかなりの数のクラウドサービスが業務利用されています。社内という範囲の中には、今や北米のどこかのデータセンターのハードディスクも含まれているのが現状です。

この結果、自社システムの閉じたエリア内が安全だとみなせたこれまでのセキュリティモデルの前提が崩れており、ゼロトラストセキュリティへの拡張が進んでいます。社内という境界、聖域を作らず、最小単位であるユーザーの振る舞いを、その瞬間、その瞬間で確認し続けていくための機能を、各社ともそろえつつあります。

その意味でクリプト便の選択には、最も情報漏洩リスクが高いとゾーニングされる外部持ち出し経路を減らす効果があり、ゼロトラストに必要なユーザーのあらゆる振る舞いを疑う社内の限られた統制リソースの分散を防ぐ利点があります。

またBoxには、Box Shieldのようなセキュリティ機能があります。優れたユーザーエクスペリエンスによってまずBoxにコンテンツを集め、さらにその上でBox Shieldの機能を十分に活用することで、最新の高度なセキュリティテクノロジーも手に入ります。しかもBox Shieldは、ゼロトラストの文脈でどんどんアップデートされています。先日の年次カンファレンス「BoxWorks 2023」でも、エンドポイントセキュリティを実現するCrowdStrikeと提携し、ユーザーやデバイスの状況に応じてリスクスコアを上げ、Boxの利用を制限するといった連携を可能にする発表がありました。

結城：

テレワークの影響を受け、いろいろなロケーションで多様なデバイスを使って働くようになった結果、境界型セキュリティの考え方との間に大きなギャップが生まれています。最近のセキュリティ事故を見ても、境界型セキュリティを過信したあまりに脆弱な部分を付かれてしまうケースがあり、ゼロトラストへの移行は喫緊の課題でしょう。

Boxは、まず使いやすいプラットフォームを提供してコンテンツを集約し、それを高度なセキュリティが担保された環境で活用いただくためのソリューションです。さらにベストオブブリードで、さまざまなベンダーとの連携も重視しており、CrowdStrike社の AIを搭載したCrowdStrike FalconプラットフォームとBoxの連携もその一つです。こうした取り組みを通して、お客様のゼロトラストへの移行を推進できると考えています。

＜関連サービス＞

BOX（ボックス）クラウド・コンテンツ・マネジメント

クラウドストレージの現在地｜セキュリティと効率性を両立させるコロナ後の働き方とは？