THE ENTERPRISERS PROJECT


Inc.com ビジネステクノロジーライター 兼 コラムニスト
Minda Zetlin
2017年4月5日

その存在をどう考えるかはさておき、シャドーITは企業にとって大きな脅威だとCisco CollaborationでCTOを務めるJonathan Rosenbergと言います。そしてまた彼は、本来それは脅威であってはならないものだとも言います。適切なアプローチをとればユーザ側も単に外部サービスの利便性だけを優先せず自社のIT部門が何を言わんとしているのか理解し、その結果、がんじがらめのルールや主張の対立を避けながらシャドーITを抑制できるのです。今回のThe Enterprisers Projectのインタビューでは、彼がそのアプローチの方法を説明します。

The Enterprisers Project (TEP):現在ほとんどのIT部門は、従業員が利用している外部ベンダーのクラウドベースのアプリケーションについて管理できていないか、もしくは、その実際を把握できていません。企業によってはその実態をやむなく受け入れたり無視していたりします。従業員が勝手に選んだクラウドベースのアプリケーションの利用は、企業にとっての脅威だと言えるのしょうか?

Jonathan Rosenberg:もちろん脅威となります!これによる企業にとっての最も根本的な脅威は、そのアプリケーションを介した情報漏えいです。ひとつ例を上げさせてください。たとえばスタッフたちがファイル共有サービスを使っており、そこへ自社の情報をアップロードしてるとしましょう。ある時、そのスタッフの中のひとりであるBobが退職したとします。しかし、社の従業員情報と紐付いていないため、そのファイル共有サービスにおける彼のアカウントは削除されずアクティブになったままです。このような場合、彼はすでに社員でないにもかかわらフォルダが共有されたままで、引き続き社内情報にアクセスできてしまします。これは大きな問題で、悪意をもった攻撃を行うにしても難しいスキルは必要ありません。社に何の貢献もしないBobがデータにアクセスできるのです!会社側は、彼がファイル共有サービスの自らのアカウントを自主的に削除することを祈るしかないのです。

これらのアプリケーションに対する考え方を変えることが問題解決の鍵になります。その正しい答は同時に2つのことを満たせるアプリケーションの提供です。それらはユーザに愛され、彼らが率先して選ぶアプリケーションでなければなりません。そしてもちろん、それはIT部門が推奨するものでなければなりません。エンタープライズ・アプリケーションがこの2つを満たすためには、美しく、操作性に優れ、先進性を備え、動作が軽快で、恒常的にアップデートされ、クラウドから提供され、ユーザが望む他の誰とでもコミュニケーションできるなど、コンシュマー・アプリケーションが持つ様々な特徴を備えている必要があります。IT部門は、この種の特徴を従来以上にもっと真剣に考える必要があります。

TEP:スタッフが迅速かつ効果的にジョブをこなす事とセキュリティとのバランスをどのように考えていますか?効率化を阻害しないよう、IT部門はいかにして見えない形でセキュリティを確保すれば良いのでしょうか?

Rosenberg:実際それは大きな課題です。その多くはSaaSアプリケーションのベンダーにとっての課題であり、IT部門が様々な事柄をベンダーに質問することから解決策を見出していく必要があります。しかし、求められているセキュリティ要件を満たしながら、ユーザが職務において使うことのできるアプリケーションを開発することは可能なのです。

その例の1つは社外とのコラボレーションを促進するコミュニケーション・ツールです。情報漏えいを恐れ、IT部門と情報セキュリティ部門は自らが提供するソリューションにおいてこのような機能を無効にする場合が一般的です。これが結局のところ、社外とのコラボレーションにまったく管理できない状態のコンシュマー・アプリケーションをユーザが使うことの原因になっているのです。

これを避けるべく、IT部門は同様の機能を備えたツールを提供し、情報漏えいリスクに対して異なるアプローチをとるべきです。まず最初に、社外への情報漏えいは不慮の事故によるものがその大多数を占めている事実を理解しましょう。たとえば、メールクライアント・ソフトウェアの自動補完機能は情報漏えいの大きな原因となっています。このような漏えいはエンドユーザ自身が情報を共有する際に注意を払えば防ぐことができます。情報を社外と共有する前に、ツールを利用して警告を出すのは良い案です。もしくは、ユーザ自身が自らの意志で社外のグループとのファイル共有を完全に避けることも1つの策でしょう。こうすればコミュニケーションを阻害することなくリスクを低減できます。

またIT部門が、外部に共有されるべきでないファイルを察知して、後で削除するというような機能をコミュニケーション・ツールに組み込むのも1つの策でしょう。この手法だと制限はゆるくなりリスクも生まれますが、こういった統制機能の備わっていない無許可のアプリケーションをユーザが利用したことを考えた場合の包括的なビジネス・リスクは下ることになります。

TEP:話がすこしそれますが、あなたは世界標準のインターネット規格を策定するメンバーの中のひとりであり、またVoIPとチャット技術の開発にも関与されていますね。ご自身のこれらについて少しお話いただけますか?

Rosenberg:他の似たような話と同じで、運とタイミング、そして弛まぬ努力と粘り強さの組み合わせです。私はコロンビア大学の博士課程に籍を置き、学位をとるための論文のトピックを探していました。そこでVoIPテクノロジーに関するいくつかの研究に着手し始めたばかりの新任教授であるHenning Schulzrinneとの繋がりができたのです。彼は、私を彼が受け持つ初めての博士課程の生徒として受け入れてくれ、そして一緒にこの分野での研究を開始したのです。当時のインターネットの新たなテクノロジーのほとんどが、インターネットを統括するための規格を定めているIETF(Internet Engineering Task Force)の手によるものでした。商用利用を目的にこのテクノロジーが注目を集め始め、そしてIETFにおけるその知名度とその異なるアプローチも幸いし、VoIPは上手く進展しました。

ここから全ての物事が始まったのです。このテクノロジーの商用利用のためのスタートアップを設立するために私は博士課程を中断し、業界内にこのテクノロジー普及させ、ビジネスを軌道に乗せることに多くのエネルギーを注ぎました。まさにハードワークの日々だったと言えます。何年もの間、来る日も来る日もこのテクノロジーを普及させるために活動し、あらゆる人、そして興味を持ってくれそうな人なら誰にでも話をしていました。努力は報われ、最終的にこのテクノロジーは広く受け入れられることになりました。いま、このテクノロジーは先進的なテレコミュニケーションの基盤となっています。また私はこのスタートアップが買収される前に博士課程も修了しました。

原文を読む ≫