“ 1：情報漏洩対策の知見
国内では今まで多くの企業が境界型セキュリティの施策を取っていたため、 セキュリティ部門やシステム・インテグレーター (SI) 企業にはデータ・セキュリティについての実務経験者がいないなど、 セキュリティの知見がサイバーセキュリティに偏っているような現状が見られます。 セキュリティの範囲は広いため、サイバーセキュリティに詳しい担当者が必ずしもデータ・セキュリティに明るいわけではないという点を認識する必要があります。
実務経験者が少ない企業では、リアリティのある運用をイメージするのが難しい場合があります。 新しい時代の情報漏洩対策の知見を得るために、公開事例に頼らず先進的な取り組みを行っている企業に自らインタビューを実施するなど、 新しい情報収集方法の実践が重要となります。 ”

引用元：Gartner、AI／生成AI時代の情報漏洩対策に不可欠な6つの要素を発表、Gartner社HP、2024年10月30日

日本国内の企業ではセキュリティに関する知見が偏っていることをまず認識しないといけないこと、そして、常に情報収集をして新たな知識を集めて実践しないといけないことが分かります。 「今までこうだったからこうだ」「あの人が知っている」などとせず、 会社や自分自身の知見を広げていくことが大切です。

“ 2：情報漏洩対策のフィロソフィ (コンセプト)
企業はセキュリティの境界を定め、ユーザーは境界中では自由にデータにアクセスし分析できました。 しかしこれでは情報を外へは持ち出せず、クラウドの利用や外部との共有が思うようにできず、企業が目指すデジタル時代の姿と大きく乖離してしまうことになります。 境界型セキュリティ、つまりデータの保護をネットワークやシステムといった大きな単位で行うのではなく、ユーザー、データの種類、ユーザーの作業範囲などの小さな単位で暗号化や権限付与を行うことが求められています。
「境界を作って自由にアクセス」できる環境から、アクセスできる人ならびに操作できる内容を限定する「情報漏洩対策に向け過剰なアクセス権の付与をなくす」ことへ、 セキュリティのフィロソフィを大転換することが重要であり、さらにこれを、従業員が生成AIなどを本格利用する前に大々的に周知することが重要です。 ”

引用元：Gartner、AI／生成AI時代の情報漏洩対策に不可欠な6つの要素を発表、Gartner社HP、2024年10月30日

今までのセキュリティの方法では外部連携がうまくできずに、デジタル時代に乗り遅れてしまうことが分かります。 そのため大きな単位でセキュリティを考えるのではなく、小さな単位で考えることに転換することが重要であり、従業員に大々的な周知が必要だということも分かります。 近年テレワークやリモートワークといった言葉をよく耳にするようになり、 以前よりも身近なものになってきました。 そんな時代だからこそ今までのセキュリティの考え方を見直す必要があり、 時代に合わせてうまく変化させていくことが大事なのではないでしょうか。

オフィスタではGoogleWorkspaceを利用することで、 マルチデバイスでのログインが可能になっています。 それによりテレワークやリモートワークをしやすい環境を整えることができました。 また、その人の立場や職に合わせてフォルダのアクセス権限を設定できるので、 小さな単位でセキュリティを管理することが可能です。

“ 3：情報漏洩対策の責任の所在
情報が漏洩して困るのは、企業の経営陣だけではありません。 ユーザー部門も取引先や顧客の情報には責任を持っており、何かあった場合にはそれを伝える説明責任があります。 境界型セキュリティの時代に企業のセキュリティがインフラ・セキュリティに大きく依存していたことなどから、 情報漏洩の責任は経営あるいはIT／セキュリティ部門であると誤解しているユーザーが多く存在します。 セキュリティ部門は、ルール制定やテクノロジの評価に責任を持つものの、ビジネス上必要なデータを使う上でデータ保護／アクセス管理を行い、 情報が漏洩しないようにする責任はユーザー部門にもあることを、今一度周知しておく必要があります。”

引用元：Gartner、AI／生成AI時代の情報漏洩対策に不可欠な6つの要素を発表、Gartner社HP、2024年10月30日

管理部門だけでなく現場の人間含め、社員1人1人がセキュリティに関して責任を持っていることを意識しなければならないことが分かります。 自分には関係ないと思わず、全社員の責任意識を高めることで、 結果的に会社全体のセキュリティが向上していくのではないでしょうか。 そのためにはまず、社員への教育が必要になってきます。 教育をして知識を身につけることによって、一人一人の責任意識が生まれることに繋がります。 そうして全体に責任意識が生まれてこそ、セキュリティが効果的に発揮されていきます。
OfficeStyleLabで行っているGoogleWorkspaceセミナーでも、 これらのセキュリティについて学ぶ時間を用意させて頂いております。 詳しくはこちらをご覧ください。

“ 4：データ・マップの作成
データの生成場所／保存場所ならびに所有者、そしてそのデータの重要度と使用者を示すデータ・マップを作成することが重要です。 データ・マップを作成する際は、どのデータがそのビジネスにとって重要なのか、そのユーザーはそのデータを本当に扱う必要があるのかなど、 さまざまな観点を踏まえて作成する必要があります。”

引用元：Gartner、AI／生成AI時代の情報漏洩対策に不可欠な6つの要素を発表、Gartner社HP、2024年10月30日

データに関する情報をまとめて、所在をはっきりさせることの重要性が分かります。 データの保存場所はどこで、誰が持っているのか、それは重要なものなのか、これらの情報が誰か1人しか分からないものが多かったり、 うまく管理できていないと業務効率も下がり、セキュリティ対策もしにくくなります。 有形物だけでなく、データの整理整頓もすることが重要です。 また、一度整理して終わりにするのではなく、常に見直し更新していく必要があります。 そんなデータの管理に役立つものの1つが「社内向けポータルサイト」です。 社内のデータを一括管理できるので、データを探し回る必要がなく、所在がはっきりします。
OfficeStyleLabではポータルサイトの作成サービスも行っていますので、 詳しくはこちらをご覧ください。

“ 5：テクノロジの評価と活用
データ保護に際しては、データの分類／検出、データ暗号、ファイル保護、権限管理などさまざまな種類のテクノロジが用いられることになります。 しかしこれらは決して新しいものではありません。これまでにもあるものです。 「どんな保護テクノロジがあるのか」という議論は収束しつつあり、現在は「どのように実装するか」といった点に検討の重心が移動しつつあります。 テクノロジを評価する際は、機能面の評価だけでなく、「ユーザーにとって使いやすいものなのか」という運用面の評価にも十分な時間を費やすことが重要です。 また、新しいものとしてはデータ・セキュリティ・ポスチャ・マネジメント (Data Security Posture Management) など、リスクの変動を分析できるようなものが検討できるようになっていますが、 過度に依存しすぎず冷静に評価する必要があります。”

引用元：Gartner、AI／生成AI時代の情報漏洩対策に不可欠な6つの要素を発表、Gartner社HP、2024年10月30日

データ保護を考えるときにどんな技術かだけを考えるのではなく、 どんな風に活用していくのかが大切なことだと分かります。 単純にセキュリティだけを強くしていけば、それだけリスクは減っていくかもしれません。 しかし、その分仕事の快適性は損なわれていく可能性が高いです。 自社にあうようにそのバランスを考えて、セキュリティに関する線引きをしておく必要があります。

“ 6：ユーザーのリテラシー向上
情報漏洩対策に関するルールは、データ分析に用いるツールや取り扱うデータの種類によってさまざまです。 ユーザーのほうもそうした状況に応じて適切なルールを適用しなければなりませんが、セキュリティのリテラシーは一定ではなく、高い人もいれば低い人もいます。 戦略的な業務や重要データを扱うケースについては、ユーザーのルール遵守の促進のために、セキュリティ部門のほうでユーザーのデータの使い方を積極的に理解し、 セキュリティのマニュアルにこれまで以上にリアリティを持たせることが肝要です。”

引用元：Gartner、AI／生成AI時代の情報漏洩対策に不可欠な6つの要素を発表、Gartner社HP、2024年10月30日

社内のセキュリティ知識は一定ではないため、 より人々にあったマニュアルを作成し、全員のセキュリティ知識、 リテラシーを高めていくことが大切だと分かります。 近年、AIが身近になり仕事でも活用されるようになってきたことで、 AI利用に関するガバナンスを作成する企業も増えてきています。 AIに関する知識がなかったり、きちんとしたルールが定まっていないことで、 知らず知らずのうちにAIから機密情報が漏洩してしまうことも。 そのためにも、時代に合わせて社内のルールやマニュアルを見直して、 常にブラッシュアップさせていくことが重要です。