テクノロジーをめぐるビジネス戦略は、絶えず進化している。通常、このプロセスには時間がかかり、混乱を避けるために入念に計画が立てられる。
だが、大勢のオフィスワーカーが短期間でリモートワークに移行したこの18カ月間は、そうならなかった。リモートワークの経験がない従業員も、パンデミックによって突然、リビングのテーブルやキッチンカウンター、寝室でノートPCを使って仕事をするようになった。
この突然の変化は、業務の継続には効果があったようだが、サイバーセキュリティが犠牲になることも多かった。
エンタープライズデータ管理ソフトウェアを手がけるVeritasで英国とアイルランドのテクノロジー責任者を務めるIan Wood氏によると、組織はビジネスプロセスを変革しなければならなかったが、必ずしもセキュリティがそれに追いついていなかったという。
「どちらかといえば、セキュリティは後で考えるものだった。『どうやって稼働させるか、ビジネスをどう変革するか』で頭がいっぱいで、どうやって保護するかは考えていなかった」とWood氏は語る。
そして、変化を迫られたのはオフィスだけではない。たとえばバーやレストランは、ソーシャルディスタンスの規則のために、仕事のやり方を突然変えざるを得なくなった。顧客が列に並んで食べ物や飲み物を注文することができなくなったため、パブやバーはデジタル注文サービスを提供しなければならなかった。
「ITインフラストラクチャーをあまり使っていなかったパブが、急に大規模インフラの導入を迫られた」とWood氏。
しかし、アドバイスを受けられず、対応に苦慮する店もあった。プライバシー活動家は、これらのアプリケーションが収集する情報の量に懸念を示している。特に、大量のデータの収集と保管の経験がないために、情報を適切に保護できない問題が発生するおそれがあるとされている。
パンデミックが原因で新しいシステムの構築が急ピッチで進められたことは、デジタルトランスフォーメーションの極端な例だ。開発は月単位や年単位ではなく、日単位の期限で実施された。だが、同じ問題、すなわちサイバーセキュリティの後付けは、長期プロジェクトにおいても重大なリスクだ。
一部の経営者は効率と最終利益を第1に考えており、自社のセキュリティ維持に役立つアプリケーションやツールへの支出が、効率や利益に悪影響を及ぼす場合、そうした支出に消極的になる。
「ビジネス上の意思決定やビジネスリスクに対する見方と、サイバーリスクに対する見方には、食い違いがある。現時点では、この2つを必要な形で組み合わせることはできず、連携や協調はできない」。BAE Systemsの中央政府コンサルタントであるLorna Rea氏はこのように述べた。
意思決定でこのような対立があるということは、デジタルトランスフォーメーションにおいて、物事の新しいやり方の導入が、安全な事業運営方法の確立よりも優先されるケースがあるということだ。たとえば、デジタルトランスフォーメーションプロジェクトには、テクノロジーを使ってより多くのことをやろうとする(明白かつ必然的な)傾向がある。セキュリティの観点から見ると、それによって組織の攻撃対象領域が拡大してしまう可能性があり、それを防ぐにはリスクを理解して対処することが必要だ。
「セキュリティがデジタルトランスフォーメーションのペースについて行けていない。組織のリソースは有限であり、限られたリソースを動員するのは非常に難しい」。Skybox SecurityでEMEAのソリューションズエンジニアリング担当ディレクターを務めるAlastair Williams氏はこう語った。
しかし、組織のリソースが限られているとしても、サイバーセキュリティを無視してよいわけではない。データ侵害やランサムウェア攻撃の被害に遭った場合の損失額は、サイバーセキュリティプラクティスの導入のコストを大幅に上回る可能性がある。それに加えて、回避可能なサイバー攻撃の被害に遭ったために、消費者やパートナーの信頼を失ってしまうという長期的な損害が生じるかもしれない。
デジタルトランスフォーメーションでは多くの場合、クラウドコンピューティングサービスへの投資が伴う。クラウドサービスの保護の基本は、無視されることもあるがよく理解されているプラクティスだ。
たとえば、クラウドのセキュリティ対策では、多要素認証(MFA)を全ユーザーに確実に適用する。こうしておけば、ユーザー名とパスワードが侵害された場合でも、追加のステップがあるため、攻撃者がネットワークに直接アクセスするのを防ぐことができる。MFAを導入すると、従業員の本人確認に少し時間がかかるようになるため、生産性が低下すると不平を言う幹部がいるかもしれないが、MFAは、会社のサービスへの不正アクセスを防ぐために実行できる最も効果的な対策の1つだ。
突き詰めていくと、デジタルトランスフォーメーションを検討する際に、データ保護が優先されるようにする最善の方法の1つは、情報セキュリティチームに投資して、逐一関与させることだ。ビジネス部門と情報セキュリティ部門の間に緊張状態が生じることがあるかもしれないが、このような連携により、最終的にはセキュリティをプロセス全体に組み込むことができる。
「セキュリティコンサルタントを関与させて、共同チームとして一緒に意思決定を行うべきだ」(Rea氏)
デジタルトランスフォーメーションの主な利点の1つは、従業員がどこからでも共同作業ができることだ。しかし、それを安全に実行できるようにするためには、サイバーセキュリティを最初からプロセスの重要な一部として組み込む必要がある。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
