セキュアな従業員のデジタル体験

現在の問題

サイバーセキュリティの取り組みでは、多くの場合、エンドユーザーの体験が考慮されません。

良いスタートです

サイバーセキュリティの専門家の半数以上(57%)が、自社のセキュリティユーザー体験(UX)は「非常に良い」または「優れている」と回答しています。

しかし、優先度は低いままです

当社が調査したセキュリティの専門家のうち、サイバーセキュリティテクノロジーの導入にあたり、エンドユーザー向けのUXがミッションクリティカルな優先課題であると回答したのはわずか13%でした。 組織がセキュリティを高い優先事項とみなしていない場合、セキュリティに関する優れたユーザー体験を実現することは本当に可能なのでしょうか?

これが重要な理由とは？

企業がセキュリティUXを無視し、従業員に扱いにくいツールの使わせようとすると、危険な回避策につながる可能性があります。

従業員の2人に1人が、個人所有のデバイスを使って企業のネットワークやソフトウェアにログインしていると回答しています。また、そのうち32%は、会社はそれを知らないと答えています。

なぜ危険な行動をとるのでしょうか? ほとんどの場合、問題を故意に引き起こすために承認されていないデバイスやソフトウェアを選ぶわけではありません。より使いやすく、信頼性が高いからこそ、それらを使用しているのです。 そして、時には他に選択肢がない場合もあるからです。

企業は、(良いものも悪いものも含めて）従業員の職場での行動を理解し、摩擦やストレスを最小限に抑え、危険な行動を防ぐような体験を設計すべきです。

セキュリティUXとは、従業員が好む仕事のやり方にシームレスに融合するアクションやワークフローを設計し、効率的に意思決定を行い、実行できるようにすることです。 それはバランスが求められる行為です。組織を保護するための監視と管理を徹底しながら、そのような介入が不必要に障害や遅延を生み出さないようにしなければなりません。

スリニヴァス・ムッカラ博士
Ivanti 最高製品責任者

現在の問題

従業員は時間や場所を問わず働きたいと考えています。 多くの企業は、Everywhere Workを生産的かつ安全にするツールやプロセスを提供していません。

これが重要な理由とは？

Everywhere Workは一時的な状態ではありません。 リモートワークのポリシーを廃止する企業であっても、従業員がどこで働いていても、従業員を業務に集中させ、生産性を維持し、安全を確保できるテクノロジーとワークフローを従業員に提供する必要があります。

Ivantiの年次調査では、リモートワークに対する経営陣の認識に変化が起きており、従業員をオフィスに戻したいと考える経営陣が増えていることがわかりました。

2024年の経営幹部の60%が、従業員が生産性を維持するにはオフィスに出社する必要があると考えており、これは昨年の44%から増加しています。

たとえ雇用主が従業員にオフィスの勤務に復帰するよう圧力をかけているとしても、リモートワークがもはや優先事項や懸念ではなくなったというわけではありません。

オフィスで働く従業員が、仕事用のデバイスを夜に自宅に持ち帰ったり、出張中に電話会議に参加したり、個人所有の携帯電話で業務用アプリにログインしたりする可能性があります。 従業員の半数がリモートで働いている場合でも、ごく一部だけの場合でも、会社が従業員のあらゆる働き方をサポートしていることを保証する必要性は依然として高く、それは従来の勤務時間外の時間帯であっても同様です。

クリステン・カンプ
Ivanti グローバル人事担当上級副社長

従業員の好む行動やワークフローを理解する

多くのCISOはセキュリティに重点を置きすぎて、ユーザー体験を見落としています。過度に複雑な認証プロセス、きわめて制限の厳しいアクセス制御、その他のユーザーに不便なオプションを導入しています。 そして、従業員はテクノロジーの摩擦にぶつかったり、使用を求められるツールに不満を感じたりした場合には、回避策を考えるでしょう。

企業が新しいセキュリティ技術に投資する前に、CISOは時間をかけて、従業員の業務習慣、ワークフロー、使用ツールを理解する必要があります。 そうすれば、セキュリティツールや介入への新たな投資は、従業員の好む働き方に合わせてさらに近づくでしょう。 最終的には、優れたUXが優れたセキュリティを強化します。

生成AIの利用に関する明確なポリシーを策定する

生成AIを使用する際の潜在的なセキュリティリスクを回避するには、ツールだけでなく、そのツールで使用する適切なデータの種類についても、従業員を正しく訓練する必要があります。 従業員は、ツール自体と、データがどこに保存され、どのように利用されるのかを理解する必要があります。

何よりもまず、組織は従業員に利用を許可するAIツールを決定する必要があります。 次に、ツールにインポートでき、ツールで使用できるデータの種類に関するガイドラインとポリシーを策定します。 企業、顧客、あるいは従業員の個人情報といった機密性の高いデータは、企業が管理していないAIツールに入力すべきではありません。 組織の境界外にデータを保存すると、データ漏洩や規制要件違反など、さまざまな問題につながるおそれがあります。

予防的な自動化を導入して、ワークフローの中断を回避します。

最高のセキュリティ対応は、セキュリティ対応がないことです。 ユーザーとサイバーセキュリティツールとの操作や関与は、最小限に抑えることが理想的です。 従業員がセキュリティ対策やツールを回避し始めると、予期せぬ結果やビジネス上のリスクが生じます。 ユーザーに「更新しますか?」と確認するのではなく、自動化を組み込み、バックグラウンドで更新を能動的かつ自動的に展開します。 これは単純な例ですが、セキュリティを日常的なワークフローに組み込むべきであり、ある程度は、ユーザーに見えないようにすべきであるというモデルです。

人間を監視役にする必要はありません。 そして、今こそ、生成AIと最新の自動化ツールに目を向けるべき時です。 生成AIが解決しようとしている第一の課題は、人間のトリアージ、人間の対話、人間が日常的な作業に関与しなければならないことを制限することです。

セキュリティの境界を限界まで拡大

ハイブリッドワークとEverywhere Workは、現代の現実です。 従業員がどこで働いていても、会社の資産を確実に保護するにはどうすればよいでしょうか? セキュリティは境界を越え、周辺部まで拡大する必要があります。 そこで、SASEやゼロトラストのようなテクノロジーの需要が高まっています。 私たちは、オフィスの四方の壁だけを守るという贅沢ができません。また、境界線を定めることさえできません。 今は、その境界はブラウザーです。 境界は、場所を問わず、職場のデバイスを使用しているユーザーです。 境界のないネットワークだと考えてください。何も信用できません。 これは大きなパラダイムシフトです。

最高情報セキュリティ責任者（CISO）をDEXの戦略と計画に関与させる

CISOは、自社のセキュリティ対策やポリシーが業務の生産性や従業員のエンゲージメントにどのような影響を与えているかを積極的に理解する必要があります。 セキュリティリーダーが従業員のデジタル体験（DEX）情報にアクセスできるようにすることで、ユーザーがセキュリティ対策に摩擦を経験したり、回避策を講じたりした場合に事後対応する必要がなくなり、CISOはセキュリティポリシーの決定と実施についてより予防的に対応できるようになります。

構成変更は、組織内のテクノロジー変化の主な要因の1つです。もちろん、進化する脅威の状況に対応する必要性から必要なものです。 残念ながら、変更はユーザーの生産性を大きく低下させる要因となります。

以下の理由から、CISOやその他のセキュリティリーダーがDEX戦略に関与することは必須です。

• DEXツールの適切な管理とガバナンスを確保する
• DEXツールをセキュリティのワークフローに組み込む（影響を受けたエンドユーザーからのサービスデスクへの問い合わせを最小限に抑えるなど）
• 予防的な構成変更やパッチ適用などのシフトレフト対策の効果を測定する
• 既存のセキュリティツールをDEX機能で強化する