この記事は、Cisco Webex Platform & Infrastructure Engineering の VP である Radhika Chagarlamudi によるブログ「National Security (NSA) Collaboration Guidelines: 5 Key Questions for Assuring Security and Compliance」(2021/4/20)の抄訳です。
心身の健康を促進し、健全な人間関係とインクルーシブな働き方を実現することにフォーカスした『Powering People First』シリーズの最新記事です。
安全性、堅牢性、コンプライアンスを確保したコラボレーション
米国国家安全保障局(NSA)は、2020 年後半に「テレワーク用コラボレーションサービスの選定と安全な利用」に関するガイドラインを公開しました。Cisco Webex を含む 17 社のコラボレーション サービス プロバイダーのセキュリティスタンスを評価するための、12 の基準がまとめられています。このガイドラインは、組織とユーザがコラボレーションサービスを選択する際に考慮する必要がある基本原則を示しています。
また、重要な問題に焦点を当てています。つまり、コラボレーションサービスを検討する際には、現在のユーザの働き方を考慮する必要があるということです。現在の働き方は非常に柔軟で、複数のツールを使用しながら複数のタスクが同時に行われます。また、対面で行われる場合もあれば、対面ではない場合もあります。さらに働く場所もさまざまで、オフィスや自宅の他、移動中に作業することもあります。使用するデバイスは、組織が提供したものの場合も個人のデバイスの場合もあります。
この新しいハイブリッド型作業モデルはコロナ禍によってさらに普及し、中には新たに登場したものもあります。その結果、組織がコラボレーションサービスを導入する際に、IT 管理者、CIO、データ セキュリティ スペシャリストは、セキュリティスタンスを広範囲に渡って詳細に考慮しなければならなくなっています。具体的には、ユーザが利用しているツール、利用方法、データの共有方法、ユーザがポリシーに違反した場合に検出する方法、違反への対応方法を考慮する必要があります。適切なツールを使用すれば、IT 管理者は、ポリシーを設定する、適切な保護策を導入してユーザとデータを保護する、コラボレーション エコシステムの状態をモニタ/管理して問題が発生した場合に対処するといったことができます。
業務中常にユーザを保護するセキュリティ
セキュリティソリューションは、1 日を通してユーザを保護する必要があります。そのため、利用するコラボレーションツールは、ユーザとデータをエンドツーエンドで防御するものでなければなりません。下の図に示しているように、あるユーザの通常の午前中の状況を考えると、優れたコラボレーションサービスとは、セキュリティ違反に対応してすべてのデータを保護し、サービスのふるまいに関する分析情報を提供できるものでなければなりません。
意図的ではないものも含め、セキュリティ侵害やデータ共有違反が発生しうる場所が数え切れないほど存在することを考慮すると、組み込みセキュリティの重要性はさらに増します。データは、転送中か保存中かにかかわらず、安全でなければなりません。コラボレーション エコシステムには、ユーザが特定の情報を共有できるかどうか、またそのユーザがそもそもエコシステムにアクセスしてよいかどうかを判断するためのインテリジェンスが必要です。そして IT 管理者は、これらの問題を簡単に検出し、対応できる必要があります。
この問題は、コラボレーションサービスに対する、主に以下の 5 つの質問に集約されます。
- デバイス間での転送中、保存中、保管時のエンドツーエンドでデータセキュリティを確保できるか?
- ユーザの役割と権限に基づいて、対象のエコシステムに対して適切に認証できるか?
- メッセージング、通話、コンテンツ共有、ビデオのいずれかを問わず、各インタラクションを保護できるか?
- 組織のデバイスか個人のデバイスかにかかわらず、すべてのデバイスを保護できるか?
- ユーザの業務時間中に使用される他の業務生産性向上ツールと安全に統合できるか?
コンプライアンス標準とガイドラインが示していること
NSA が発行したものも含め、ガイドラインやコンプライアンス標準は、ユーザだけでなく業界にも役立ちます。ガイドラインやコンプライアンス標準には、データ、ユーザ、組織を保護する方針が遵守されているかどうかを判断するための、一連の評価基準が含まれています。また、サービスを購入する際に把握しておくべき情報や、サービスの構築方法および活用方法も記載されています。
Webex では、ユーザ、コンテンツ、アプリケーション、デバイスを包括的なアプローチで保護し、ユーザがオフィス、自宅、外出先のどこで作業しているかにかかわらず、ユーザデータの安全性を確保します。また、その全体的な視点は、シスコが提供する他のサービスにも及んでいます。Webex のセキュア開発ライフサイクルには、効果を測定できる、反復可能なプロセスが用意されています。このプロセスには、脅威のモデリング、セキュアな設計およびコーディング、脆弱性テスト、プライバシーへの影響評価、第三者機関によるセキュリティ評価などが含まれています。これにより、エコシステムのあらゆる側面をすべて保護できます。
この包括的なセキュリティアプローチは、シスコが提供する他のサービスにも適用されるため、シスコ エコシステム内の各通話、テキストメッセージ、ビデオ会議、共有ファイルは、適切な標準、ガイドライン、ポリシーに準拠し、安全です。このことは、コラボレーションサービスにセキュリティ上のギャップがないことの重要性を示しています。かつてシスコ IT のコラボレーションサービスの責任者だった筆者は、あるエコシステムでほとんどのサービスが保護されていても、1 つでも脆弱性にさらされているサービスがあれば意味がないと考えていました。セキュリティは、エコシステム全体で標準化され、一貫して適用されている必要があります。
Webex によるエンドツーエンドのセキュリティの詳細について、筆者の同僚で、Webex の製品管理担当ディレクタである Niraj Gopal が本日公開した「Webex が 米国国家安全保障局(NSA) のコラボレーション サービス ガイドラインで最も高い評価を獲得」 」もお読みください。
今後の展望
コロナ禍によって変わった働き方がこの先も続くことは間違いありません。そのため、IT 管理者として、組織全体をどのように保護するかという点により焦点を当てる必要があります。しかし、セキュリティをより強化するということは、ユーザエクスペリエンスを複雑にしたり、ユーザの作業場所や方法を制限したりする必要があるということではありません。また、管理しきれないような非常に複雑なエコシステムを構築する必要があるわけでもありません。
コラボレーションは、タスク、デバイス、場所に関係なく、できる限り簡単でなければなりません。セキュリティは最初から考慮されているべきものです。Webex は、この課題に適切に対処できていると考えています。NSA のガイドラインを読めば、Webex の対応の適切さと、シスコがそれを重視している理由が明確にわかると思います。シスコの目標は、今後数ヵ月、数年で変化していく働き方に応じて継続的に対応可能な、中央管理型コラボレーションサービスを提供し、ユーザの 1 日を通じて高品質なエクスペリエンスをシームレスに実現して、IT 管理者の負担を軽減することです。
業務の方法、場所、時間が常に変化する状況に対応して組織が変わり続けている中、セキュリティとプライバシーも、優れたコラボレーション エコシステムの重要なポイントであり続けます。NSA のガイドラインに記載されているのは、今後数年間でセキュリティ業界のロードマップに組み込まれていく側面のごく一部です。
安全性、堅牢性、コンプライアンスを確保したコラボレーションエコシステムに関するガイドラインの詳細については、こちらをクリックしてください。
ぜひお客様のご意見をお聞かせください。以下から質問やコメントを投稿し、
ソーシャルネットワークでコラボレーションしましょう。
Webex Japan ソーシャル チャネル
#CiscoLive
YouTube
その他の記事
- Webex の新機能:2021 年 4 月[英語]
- IT 管理者が Webex Control Hub を活用する方法[英語]
- Webex:会議とコンテンツの安全性を確保する新ツールがセキュリティとコンプライアンスの新たな標準に