日本版 ニュースリリース

米国ニュース


世界的調査により、企業セキュリティでIT部門が果たす
役割に関する認識の低さが露呈

~リモートワーカーの多くが危険なオンライン行動を取っているにもかかわらず、
オフィス外の行動を制御する権限はIT部門ではなく管理者にあると認識、
ほぼ5人に1人が行動監視の権限は誰にもないと回答 ~






2006年11月6日、米カリフォルニア州サンノゼ発
シスコシステムズは本日、リモートワーカーとそのオンライン行動を調べた2回目の国際的調査の結果を発表しました。何か起きてから対処するのがIT部門の役割だという見方が多数を占めていたほか、IT部門の権限をIT専門家ではない管理者よりも下と見ているケースもあるなど、企業や個人のセキュリティを危険にさらしかねない、ITの役割に関する認識の低さが明らかになりました。

同調査は、アメリカ、イギリス、フランス、ドイツ、イタリア、日本、中国、インド、オーストラリア、ブラジルのリモートワーカーとIT意思決定者それぞれ1,000人以上を対象に、独立系の市場調査会社よって今夏実施されたものであり、リモートワーカーのセキュリティに対する認識と実際の行動の矛盾が明らかになった前回のリサーチ(10月初旬に結果を発表済み)をさらに発展させた内容となっています。リモートワーカーが危険なオンライン行動を取っているという事実を背景に、彼らがセキュリティにおけるIT部門の役割をどう捉えているかについて、前回と同じワーカーを対象に調査を行ないました。すなわち、ユーザ側から見たITプロフェッショナルの役割がどのようなものであるかを調べたわけです。

世界のITコミュニティにとって、その回答は意外なものでした。10カ国のうちアメリカを含む6カ国では、リモートワーカーの行動を制御する権限はIT組織ではなく直属の管理者にあると考える人が多数を占めています。またフランスでは、リモートワーカーの行動を制御するのはIT部門の役割であるという回答が33パーセントだったのに対し、制御する権利は誰にもないという回答は38パーセントでした。

アメリカやフランス以外にも、オーストラリア、ブラジル、中国、イギリスで、IT部門よりも管理者の権限のほうが上であるとする回答が多数を占めました。インド、イタリア、日本、ドイツはこれに当てはまりませんが、日本とドイツの3分の1のリモートワーカーが、IT部門の権限の有無にかかわらず責任は管理者にあると答えています。調査対象となったリモートワーカーはいずれもITの専門家ではありません。すなわち、販売、マーケティング、経理、H.R.、カスタマー サポート、運営といった部門の管理者が、ユーザのオンライン行動を管理する上で、IT部門と同等もしくはそれ以上の権限を持つと見られていることになります。

全リモートワーカーの13パーセントが、管理者やIT部門に限らず、誰であっても企業デバイスの使用を制御すべきではないと回答しています。このように考えるリモートワーカーはフランスが38パーセントともっとも多く、またイタリアでも3分の1以上にあたる35パーセントがこの考えに賛同しています。また、日本は22パーセント、アメリカは14パーセント、オーストラリアも同じく14パーセントと、いずれも世界平均を上回っています。

「これらの調査結果は、社会や企業の文化が反映されたものとなっています。たとえば、ドイツではIT部門がリモートワーカーの行動を監視すべきだという意見が71パーセントを占める一方で、3分の1が管理者にも責任があると回答しています。さらには、4人に1人が監視は従業員の役目でもあると考えています。ドイツの回答者の多くが、企業全体で情報を守るべきだと感じているようです」とシスコのセキュリティ ソリューション マーケティング部門担当副社長であるジェフ・プラトンは述べています。

ドイツ以外の国の最高情報責任者(CIO)は、エンドユーザにITの役割を再確認させる様々な問題に直面している、とプラトンは指摘します。今回調査に協力してくれたITプロフェッショナルたちの大半は、リモートワーカーから見たITの役割を冷静に受け止めています。全体の半数以上にあたる53パーセントの回答者が、IT部門は企業デバイスの利用状況を知る権利を持たないとユーザに思われている、と答えています。逆の回答が上回ったのはインドとブラジルの2カ国だけでした。

シスコの最高セキュリティ責任者(CSO)であるジョン・スチュワートは、ユーザのこのような認識はIT部門が信頼できるセキュリティ アドバイザーとしての地位を確立するチャンスであり、深刻な問題ではないと見ています。

スチュワートはこう述べています。「社員はセキュリティ問題については認識していても、自分たちの行動の危険性には気づいていない場合が多い、ということをIT部門は知っています。鍵となるのは、教育と認識です。ITとセキュリティの両部門は、上級の管理部門と協力して、リスクと責任について社員に教えていく必要があります。リスク――すなわち、異なる理解度を持つ大勢の人々がネットワークに接続する環境下で必ず発生するリスク――から組織を守る予防技術の確立が急がれる一方で、予防的なコミュニケーションと教育を製品と共に提供することによって、最終的にセキュリティに精通した企業文化が生み出されるのです」

プラトンによると、今月初めに発表された第1回目の調査結果(「“行動は言葉より雄弁である”:多くのリモートワーカーが、セキュリティ問題を認識していると答える一方で、オンラインで危険な行為を冒していることが判明」(http://www.cisco.com/japanese/warp/public/3/jp/news/pr/newsroom_us/2006/10/prod_100906.html)は、スチュワートのメッセージよりもさらに強い切迫感を与えるものになっているということです。

プラトンは「最初の調査では、世界のリモートワーカーの3分の2がセキュリティの問題を認識していると答えています。しかし、そう言っているワーカーの多くが、企業デバイスを使用する際に危険な行動を取っているのです。彼らの認識と実際の行動の間には矛盾があります」と説明します。

危険な行動には、近隣の無線ネットワークのハイジャックや、不審な電子メールの開封、個人のデバイスを使った企業ファイルへのアクセス、社員以外の人物とのコンピュータの共有などがあげられます。なぜこういった行動を取るのかとリモートワーカーにたずねたところ、「この行動によってセキュリティ上のリスクが高まるとは思えない」、「このような行動を取っていることを会社は知らない、あるいは知っていても注意されることはない」、「他の社員も同じことをしている」といった回答が得られました。

「リモートワーカーの認識と行動の間にある矛盾、行為の裏に隠された理由、そしてITに対する認識は、CIOとCSOが組織内の信頼できるセキュリティ アドバイザーとしてその地位を再構築するに十分な動機付けとなります。今回の調査結果は、セキュリティが全員で取り組むべき課題であることを明確に示しています。IT部門は、そのイメージを改善し、セキュリティ リスクと社員の行動の関連付けを先導して行う機会と義務を有しているのです」とスチュワートは述べています。

この変革を推進するには、上級管理部門による共同戦線の構築、セキュリティ アンバサダーの任命、全社規模のトレーニングの実施、社内コミュニケーションの徹底、地域との関係を保ちながらの国際コミュニケーションの展開、注目を集める賞や表彰の授与といった様々な取り組みが必要だとスチュワートは指摘します。

「大切なのは、閉ざされたオフィスから外へ出て、人々とコミュニケーションを取ることです。しかし、ほとんどのITセキュリティ チームはこれを行うことなく、事が起きてから秘密裏に行動を起こすばかりで、生産性とデータの損失を防ぐ能力を持っていることを管理部門に示せずにいます。エンドユーザの話を聞き、教育を施すことで、IT部門は信頼できるセキュリティ アドバイザーへとそのイメージを変えることが可能です。これこそはCIOとCSOの究極の望みであり、企業が最終的に必要としていることなのです」とスチュワートは述べています。

シスコシステムズ社について
Cisco Systems, Inc.(NASDAQ: CSCO)は、インターネット/イントラネットの基盤となるネットワーク関連機器を提供する世界的なプロバイダです。シスコに関するニュースならびに関係資料は以下のWebサイトでご参照頂けます。
<http://www.cisco.com >

* Cisco、Cisco Systems、Cisco Systemsのロゴは、米国ならびに諸外国における Cisco Systems, Inc. および関連会社の登録商標です。本文書に記載しているその他の商標の所有権は、所有企業各社にあります。
**当資料は、米国で発表されたニュースリリースの抄訳です。米国で発表されたニュースリリースの内容は以下のWebサイトをご参照ください。
<http://newsroom.cisco.com/dlls/2006/prod_110606.html >

お問い合わせ