ハイブリッドワークの広がりや多様なSaaS、クラウドサービスの普及といった変化に伴い、囲われたオンプレミス環境を前提とした時代とは異なる新たな課題が浮上しています。根本的な解決の鍵は何でしょうか。
前回に続き、Box Japanのパートナーソリューションエンジニア 結城亮史氏とNRIセキュアテクノロジーズのセキュリティアーキテクチャコンサルティング部に所属する小坂充、ファイルセキュリティ事業部の土屋亨が語りました。
IT環境や使い方の多様化に伴って浮上した新たな課題
Q:前回のお話でも触れましたが、働く環境やIT環境の変化に伴ってセキュリティ面での課題も生じています。
小坂:この2〜3年で、データを扱う場所がオフィスの中だけとは限らなくなりました。いろいろな場所で、いろいろなデバイスを活用して業務をすることが推進され、データの置き場所と使う場所が広がりました。また、コロナ禍をきっかけにテレワークのハードルが下がり、効率的な働き方の追求・実証がすすんだように思います。単純に終日の在宅勤務だけではなく、その日の家庭やビジネスの都合にあわせて、在宅か、オフィスか行き来するといったように個々人が流動的に働き方を選択できるような傾向が強まったと思います。データの置き場所、使う場所は時間や人によって環境は異なり、流動的な環境を念頭に置いたセキュリティ統制が必要になりました。
それに伴い、これまでは一つに限られていたインターネットとの出入り口も増え、いろいろな場所からデータに触れるようになっています。結果として、個人情報など漏れてはいけないものも含めデータを持ち出しやすくなった側面があり、どう守るか悩まれている状況だと思います。囲われた枠の中だけを守る境界型防御だけでなく、保護対象となるエンドポイントを「点」としてとらえる対策も求められていくでしょう。それも、黒か白かを判別する予防的統制に加えて、不審な挙動を検出できるようにするという発見的統制で守るアプローチが増えているように思います。
それに伴い、これまでは一つに限られていたインターネットとの出入り口も増え、いろいろな場所からデータに触れるようになっています。結果として、個人情報など漏れてはいけないものも含めデータを持ち出しやすくなった側面があり、どう守るか悩まれている状況だと思います。囲われた枠の中だけを守る境界型防御だけでなく、保護対象となるエンドポイントを「点」としてとらえる対策も求められていくでしょう。それも、黒か白かを判別する予防的統制に加えて、不審な挙動を検出できるようにするという発見的統制で守るアプローチが増えているように思います。
NRIセキュアテクノロジーズ セキュリティアーキテクチャコンサルティング部 小坂充
Q:利用するサービスも多様化しました。
小坂:Boxのようなクラウドストレージだけでなく、Web会議、あるいは生成AIなど、いろいろなSaaSやクラウドサービスが活用され始めています。ただ、それらのセキュリティ機能は、正直に言って玉石混合です。きちんとアクセスを制御し、誰がどういった操作を行ったかを確かなレベルで記録に残せるサービスもあれば、簡易なものしかないサービスもあります。
企業としてはその中から、自分たちの目的にマッチし、かつセキュリティ統制が担保できる筋のいいサービスを選び、データ保管場所を集約させていく方が、データ流出を防ぎやすくなると思います。
企業としてはその中から、自分たちの目的にマッチし、かつセキュリティ統制が担保できる筋のいいサービスを選び、データ保管場所を集約させていく方が、データ流出を防ぎやすくなると思います。
結城:便利なクラウドサービスがいろいろと生まれましたが、その中からデファクトスタンダードと呼ばれるものがある程度決まってきたように思います。問題は、組織としてそれをどう管理していくかだと思います。
Q:ITアーキテクチャのあり方を巡っては、集約するか分散するかが常に議論となってきました。今おっしゃったセキュリティ面以外に、利便性の面でも課題はないでしょうか。
土屋:よく耳にするのは、「必要なファイルをどこに置いたかがわからなくなる」という問題です。セキュリティインシデントのように大きなニュースにこそなりませんが、企業内で各ユーザーがファイル探しに費やしている時間を全部集めると、かなりのコストになると思います。
NRIセキュアテクノロジーズ ファイルセキュリティ事業部 土屋亨
結城:いろいろなクラウドサービスを導入してみたものの、コンテンツがどこに行ったのかわからなくなる問題はどこにでもあり、一つにまとめた方がいいと感じながらも、課題として顕在化していないのかもしれません。こちらから「必要なファイルがいざいというときに見つからないというような課題はありませんか?」と尋ねてみると、皆さん、「確かにそうだな」とおっしゃいます。
小坂:コンサルタントとして多くのお客様を支援していると、お客様ごとに異なるツールをつかって情報のやりとりをすることがあります。大きいプロジェクトになるとお客様自身もファイルの置き場所を失念されているケースもあり、必要な資料にすぐにたどり着けないということが増えたように思います。これが機密性の高いデータであれば置き場所を忘れているというのはすでにリスクがある状態だと思います。
土屋:綱渡りの状況にあるかもしれません。どの共有フォルダに、どのユーザーがアクセスしてよい資料を置いたかどうかは、わざわざ確認でもしない限りわかりませんよね。フォルダ毎のアクセス制御設計が適切であっても、共有する方がミスをおかすことはありえるでしょう。ただ単に気付いていないだけ、明るみになっていないだけで、すでに事故は起きていてもおかしくありません。
結城:個人情報漏洩などのインシデントとは異なり、当局への報告義務や開示義務のないことであれば、ヒヤリハットでその場で収めているケースが多いのかもしれません。
データを一ヶ所へ自然と集約させることが課題解決の鍵に
Q:セキュリティ面でも、また効率性の面でもいろいろと課題が浮上しています。どこに着目して解決に取り組むべきでしょうか。
小坂:チャットでもWeb会議でも、どんなアプリやサービスを使っていても、データの共有を行う場面は必ずあります。そんなとき、どこに保存しても自然と一つのデータソースに集まってくる仕組みができるといいのではないでしょうか。
土屋:Boxが目指している世界がまさにそうですよね。統合ツールを使えば、たとえばSlackで添付ファイルを共有するとき、画面はSlackでも、ファイルそのものはSlackのデータセンターではなくBoxの自社フォルダの中に保存されます。TeamsにしてもZoomにしても同様に保存先をBoxに集約できます。
小坂:ヨーロッパのGDPRをはじめ世界各国でデータ規制が強化されている今、SaaSを利用するときにオリジナルのデータがどこに保存されるかは重要なポイントとなります。データのロケーションをきちんと指定できないサービスでは、知らず知らずのうちに国境をまたいでしまい、越境先の国の法律で裁かれてしまう恐れがあります。どんなアプリを使っていてもデータの置き場所をコントロールしたいというニーズは高まるでしょう。
土屋:そのニーズは、SaaSを提供する事業者側にとっても共通することだと思います。複数のリージョンにデータセンターを持つにはかなりの投資が必要になり、相当体力のある企業でなければ難しいでしょう。ならばBoxと提携し、データのリポジトリをBoxに指定することで、各種法令をクリアしやすくなります。
結城:そもそもBoxは、データを送るのではなく、共有するというコンセプトに基づいたコラボレーションサービスです。オリジナルのデータをBoxに集約し、共有し、見てもらうことによってオリジナル性を担保できますし、バージョン管理も容易になります。またBoxにはZonesという機能があり、ロケーションを選択することもできます。
Box Japanのパートナーソリューションエンジニア 結城亮史氏
土屋:編集のたびにファイルに「_ver2.0」「最新版」といった名前を付け、あるものはメールに添付し、あるものはファイルサーバに置いておくというやり方は、今の時代、手間でしかありません。APIでさまざまなサービスと連携し、最新のコンテンツを共有する仕組みの方が効率的でしょう。
結城:Boxではさらに、ファイル共有の権限を適切に設定することで、オリジナルデータに手を加えてより使いやすい資料を作ることもできます。たとえば誰かが作ったプレゼンテーションの資料の一部を切り取り、自分の資料に組み込んで利用するといったコラボレーションが組織全体で容易に実現できれば、生産性向上につながると思います。
Boxへの集約はセキュリティ面でも有効です。異なるセキュリティレベルを持つ別々のサービスでファイルを保存していると、どこかセキュリティの甘いところから漏洩してしまう恐れがあります。高いレベルでセキュリティを保つBoxのようなコンテンツクラウドサービスに集約していただくことで、コンテンツを保護しながら、使いやすさも享受できます。いつ、誰がそのファイルにアクセスしたかといったログも簡単に見られますから、監査やガバナンスの観点でも有効でしょう。
Boxへの集約はセキュリティ面でも有効です。異なるセキュリティレベルを持つ別々のサービスでファイルを保存していると、どこかセキュリティの甘いところから漏洩してしまう恐れがあります。高いレベルでセキュリティを保つBoxのようなコンテンツクラウドサービスに集約していただくことで、コンテンツを保護しながら、使いやすさも享受できます。いつ、誰がそのファイルにアクセスしたかといったログも簡単に見られますから、監査やガバナンスの観点でも有効でしょう。
小坂:重要なデータが変更されていないかを確認する改ざん検知のソリューションもありますが、オンプレミス環境を前提としており、クラウドのアーキテクチャはあまり得意ではありません。クラウド上の機能でバージョン管理や変更、改ざんを記録できるのは非常にいいことだと思います。
また、軽い気持ちでチームの全員にファイルを共有したものの、後から「やっぱりやめておけばよかった」と思い直すこともあると思います。クリプト便もそうですが、Boxでも、一度共有したもののアクセス権限を変更できるのも、一ヶ所に集約するがゆえの良さであるかと思います。
また、軽い気持ちでチームの全員にファイルを共有したものの、後から「やっぱりやめておけばよかった」と思い直すこともあると思います。クリプト便もそうですが、Boxでも、一度共有したもののアクセス権限を変更できるのも、一ヶ所に集約するがゆえの良さであるかと思います。
土屋:忙しい社会人にとって、散らばったファイルのアクセス管理や整理整頓はなかなか難しいことです。シンプルに、とにかくBoxに取り込むことを習慣化し、企業の文化として育てることができれば、さまざまなメリットが生まれると思います。
来たるAI時代、勝ち抜く企業になれるかどうかを左右するデータ
Q:今後、コンテンツを集約するBoxのようなサービスはどのように進化していくでしょう?
結城:一つは生成AIです。コンテンツや非構造化データを扱うBoxは、生成AIが非常に活躍できるプラットフォームであり、我々も力を入れています。もちろんまだ発展途上の技術ですから、どうすればユーザーの皆様がよりよい体験ができるのか、最適な使い方を模索するフェーズにあると思いますが、たとえばBox上に保存された技術文書をボタン一つで日本語に翻訳し、かつ要約してくれるような機能が考えられますね。
土屋:生成AIの進化や発展は日進月歩ですが、一つ確実なのは、そのAIに学習させるデータをたくさん持っている企業が有利ということです。従って、コンテンツを一ヶ所に集めていくことが、AIを使いこなせる企業になれるかどうかに関わってくると言えるでしょう。
Boxにコンテンツを集約することで手間が省け、セキュリティ面も強化されるといったメリットを紹介してきましたが、Boxに大量のデータを集めれば集めるほど、そこで使われるAIの精度の向上を期待できます。AIが最適な結果を出力できるようチューニングするには、自社がこれまで生成してきたコンテンツをできるだけ多く学習させていく下準備が必要で、Boxに保存しておけばその準備ができると言えるでしょう。
Boxにコンテンツを集約することで手間が省け、セキュリティ面も強化されるといったメリットを紹介してきましたが、Boxに大量のデータを集めれば集めるほど、そこで使われるAIの精度の向上を期待できます。AIが最適な結果を出力できるようチューニングするには、自社がこれまで生成してきたコンテンツをできるだけ多く学習させていく下準備が必要で、Boxに保存しておけばその準備ができると言えるでしょう。
小坂:
データを集約させるということは組織のノウハウとなる情報の管理・継承という点でも有用になっていくと思います。日本でも特定企業にとどまらずに、様々な企業での就業をつうじてキャリアップしていく考え方は珍しくなくなりました。結果として、組織の中では人材が流動的になるため、情報の引継ぎも速やかに行われるようなプラットフォームの整備が求められていくでしょう。
たとえば、ある取引先との過去の経緯を知りたいとき、ファイルサーバでは検索性が悪く、そのものずばりの情報がなかなか得られません。もしBox等のデータストレージと生成AIを組み合わせることで、後任者が知りたい関連情報がぱっと出てくるようなプラットフォームを確立できれば非常に重宝するだろうと思います。生成AIがデータストレージの付加価値として提供される、そんな世界観ができればいいなと思いますね。
結城:退職や異動で貴重な情報が失われてしまうケースは、見えないところでたくさん起こっています。現時点でもBoxはそのようなデータ喪失を回避するために活用できますが、それを生成AIがさらに支援し、探し当ててくれるといった未来像も期待できると思います。
土屋:同じような資料を何度も作ってしまうことがありますが、組織全体で同じようなことをやっていると大きなロスになります。もちろん、それにはこれまでのやり方ではなく、コンテンツをBoxという一ヶ所に格納するように、仕事のやり方を変えてもらう必要があります。何度も活用セミナーを開き、社内で浸透させていく地道な取り組みもセットで進める必要がありますが、それだけの甲斐がある大きなメリットがあるでしょう。
<関連サービス>