自信さえあれば企業のコラボレーション環境を守れるのであれば、欧州の多くの組織には心配すべきことはほとんどないでしょう。
通信プロバイダーのWireが実施した最新調査によると、英国・フランス・ドイツのIT専門家の84%が自組織のコラボレーション環境のセキュリティに自信を持っており、79%はコラボレーションデータへのアクセス制御能力についても同様の自信を示しています。
しかし、この調査の他の結果は、より複雑な実態を浮き彫りにしています。「自組織のコラボレーションツールが機密性の高いやり取りの処理に完全に適している」と答えたのはわずか29%でした。また61%が「共有ファイルへのアクセス権が必要以上に長く有効なままになることが多い」と回答し、34%は「機密ファイルへのアクセス権を誰が持っているのかを把握するのに苦労している」と答えています。さらに19%は「アクセス権を付与した後、それを取り消すのが非常に難しい」と回答しました。
安全なコラボレーションをめぐる意識の乖離
Wireは調査結果を次のようにまとめています。「本レポートの中心的な発見は、組織がコラボレーションセキュリティに無頓着だということではありません。むしろ、コラボレーションセキュリティへの自信と、機密情報が実際にどう扱われているかという現実との間に、大きな緊張関係が存在するということです」
Wireの調査によると、欧州の組織は社内外を問わず、幅広い組み合わせのツールを使ってコラボレーションを行っていることが分かりました。その内訳には、企業向けメッセージング・コラボレーションプラットフォーム、電子メール、OneDriveやDropboxといったオンラインファイルストレージ・共有サービス、さらにはWhatsAppやSignalといった一般消費者向けメッセージアプリまでが含まれています。多くの場合、組織は情報の機密性やワークフローに応じたセグメント分けをせず、これらの異なるツールを同時に使用しています。
Wireは、組織とその外部パートナーとの間のコラボレーションフローにおいて、こうしたガバナンスの欠如が特に顕著であることを明らかにしました。組織の4分の3が、外部パートナーとの情報共有において社内で使用しているものと同じ電子メールプラットフォームを利用しており、45%がファイル共有サービスを、42%がメッセージアプリを利用していました。
外部とのコラボレーションに安全なツールを使用していた組織は3分の1未満(28%)にとどまりました。Wireが指摘するように、これは「外部の参加者が組織と同じポリシーに従っているとは限らず、同じシステムを使っているとも、同じ方法で情報を保持しているとも限らないため重要な問題」です。当然ながら、外部と共有したファイルに対する管理能力に自信がないと答えた組織も33%に上りました。
シャドーITという問題
他にも問題は存在します。中でも特に大きいのが、一般消費者向けメッセージアプリや個人用クラウドストレージ、ファイル共有サービスを業務目的で常用していることです。従業員がこうしたシャドーITツール・サービスに頼る最も多いきっかけはスピードと緊急性ですが、それだけが理由ではありません。外部パートナーが組織と同じ公式ツールを使っていない場合や、公式に認められたツールが複雑すぎる場合、あるいはモバイル端末を使用している場合やリモートワーク中である場合にも、同様のことが起きています。
WireのCEOであるBenjamin Schilz氏によると、IT・セキュリティ責任者がコラボレーション環境のセキュリティを評価する際、まず考慮するのは、公式に認められたコラボレーションツールがあるか、それらのツールがITプロセスによって管理されているか、そして標準的な企業セキュリティ対策の傘下にあるかという3点だといいます。多くの場合、これら3つの問いへの答えはいずれも「イエス」だとSchilz氏は指摘します。「システムの観点から見れば、それは『公式ツールは適切に保護されている』という結論に至るでしょう。それは間違った答えではありませんが、不十分な答えです」
問題のギャップは、従業員が承認されておらず管理も行き届いていない一般消費者向けアプリにどの程度頼っているかという点にあり、それが組織をセキュリティおよびコンプライアンス上のリスクにさらしていると同氏は指摘します。
成熟度は中間レベルにとどまる
調査回答者が示した高い自信レベルとは裏腹に、Wire自身は大半の組織を、コラボレーションデータのセキュリティに関する成熟度スケール上で中間あたりに位置づけました。このカテゴリーに該当する組織は、社内コラボレーションには企業向けツールを使用しているものの、外部とのコラボレーションにおける電子メールや消費者向けアプリの利用管理については一貫性を欠いていました。
これよりもやや成熟度の高い実践を行っている組織は、コンプライアンス要件を明確に理解し、リスク管理のための管理策を導入しており、データの種類ごとにセグメント化されたツールを使用し、外部とのコラボレーションについても少なくとも一定の監視体制を敷いていました。Wireは次のように述べています。「このレベルの組織は、ポリシーとツールの基盤をすでに構築しています。まだ埋められていないのは、ポリシー、ワークフロー、そして実証可能な管理体制との間の循環です」
Wireによると、2026年において組織が自らのコラボレーション環境を真に保護しようとするなら、「セキュリティ・バイ・デザイン」を実現する必要があります。これは、社内外のワークフロー全体にわたるエンドツーエンドのガバナンスを実装し、監査可能で、主権性があり、コンプライアンスに準拠した管理体制を備えることを意味します。
「企業に導入されている主流のコラボレーションプラットフォームやシステムは、社内外を統合した一体的なコラボレーションにはそもそも適していません」とSchilz氏は述べます。「原則として、企業向けコラボレーションプラットフォームやシステムは、時間をかけて共に進化してきたツール群の寄せ集めなのです」
多くの場合、企業向けコラボレーションプラットフォームは電子メール、オンラインドライブ、共有ファイルリンク、チャット、会議ツールなどで構成されており、それらは元々、組織の境界内での社内利用を主眼として構築されてきました。「このように断片化しているため、アクセス管理の観点からは扱いが複雑になり、結果としてアクセス制御は『全か無か』になりがちです」と同氏は言います。
「全か無か」というアクセス制御は外部関係者には適していない、と同氏は付け加えます。社内向けのコラボレーションプラットフォームやツール群には、外部の協力者に対して選択的にアクセス権を付与するための、簡単かつ統一的な仕組みが欠けているのです。「その結果、外部者にアクセス権を付与する管理作業は負担が大きくなり、それがITプロセス上の摩擦として表面化します」とSchilz氏は指摘します。「そしてこれが、人的リスクにつながっていきます。つまり従業員が、緊急性やアクセス権の不足、ツールが複雑だという認識から、自分で制御でき使いやすいツールに頼るようになるのです」