セキュアな従業員のデジタル体験

Ivantiのサイバーセキュリティ調査レポートシリーズ

複雑な認証プロセスや非常に制限の多いアクセス制御など、厳格なセキュリティプロトコルは、従業員のストレスとなり、生産性を低下させ、危険な回避策につながる可能性があります。 Ivantiの調査では、適切なバランスを取る方法を示しています。

調査レポートのサマリーをダウンロードする

01

摩擦を減らす

現在の問題

サイバーセキュリティの取り組みでは、多くの場合、エンドユーザーの体験が考慮されません。

良いスタートです

サイバーセキュリティの専門家の半数以上(57%)が、自社のセキュリティユーザー体験(UX)は「非常に良い」または「優れている」と回答しています。

しかし、優先度は低いままです

当社が調査したセキュリティの専門家のうち、サイバーセキュリティテクノロジーの導入にあたり、エンドユーザー向けのUXがミッションクリティカルな優先課題であると回答したのはわずか13%でした。 組織がセキュリティを高い優先事項とみなしていない場合、セキュリティに関する優れたユーザー体験を実現することは本当に可能なのでしょうか?



これが重要な理由とは?

企業がセキュリティUXを無視し、従業員に扱いにくいツールの使わせようとすると、危険な回避策につながる可能性があります。

従業員の2人に1人が、個人所有のデバイスを使って企業のネットワークやソフトウェアにログインしていると回答しています。また、そのうち32%は、会社はそれを知らないと答えています。

なぜ危険な行動をとるのでしょうか? ほとんどの場合、問題を故意に引き起こすために承認されていないデバイスやソフトウェアを選ぶわけではありません。より使いやすく、信頼性が高いからこそ、それらを使用しているのです。 そして、時には他に選択肢がない場合もあるからです。

企業は、(良いものも悪いものも含めて)従業員の職場での行動を理解し、摩擦やストレスを最小限に抑え、危険な行動を防ぐような体験を設計すべきです。

Quote Icon

セキュリティUXとは、従業員が好む仕事のやり方にシームレスに融合するアクションやワークフローを設計し、効率的に意思決定を行い、実行できるようにすることです。 それはバランスが求められる行為です。組織を保護するための監視と管理を徹底しながら、そのような介入が不必要に障害や遅延を生み出さないようにしなければなりません。

Dr. Srinivas Mukkamale

スリニヴァス・ムッカラ博士
Ivanti 最高製品責任者


02

AIの増加

現在の問題

生成AIの使用が急増するにつれ、セキュリティ衛生の問題(安全でない回避策、未承認のデバイスなど)によるリスクは、さらに深刻化するでしょう。

AIを活用したテクノロジーの導入は急増しています。 Microsoftの「2024 Work Trend Index」によると、生成AIを使用するグローバルな知識労働者の割合は、2024年の6か月間でほぼ2倍に増加し、75%に達しました。

しかし、ほとんどの企業はAIリスクを低減するための迅速な対応が十分ではありません。

81%

の従業員が生成AIの使用に関するトレーニングを受けていないと報告しています。

32%

生成AIの使用が急増するにつれ、セキュリティ衛生の問題(安全でない回避策、未承認のデバイスなど)によるリスクは、さらに深刻化するでしょう。



これが重要な理由とは?

従業員がジェネAIツールやその他の最先端技術に自由自在にアクセスできる場合、負のリスクは甚大になる可能性が あります。

  • サイバー脅威: 未承認の生成AIツールは、他のシャドーITと同様に、セキュリティ部門の監督を受けずに組織の攻撃対象領域を拡大することでリスクをもたらし、潜在的に未知の脆弱性を引き起こして組織のセキュリティ体制を脅かす可能性があります。
     
  • データプライバシーとコンプライアンス: 従業員が、誤って企業や顧客の機密データを生成AIツールに入力してしまう可能性があります。 これらのデータが外部サーバーで保存または処理される場合、データは組織の管理の範囲外となり、プライバシー法(GDPR、HIPAAなど)違反や侵害のリスクにさらされます。
     
  • 著作権: 従業員は、著作権で保護された素材を含む第三者のデータセットにアクセスし、使用することができますが、これは法的な課題につながる可能性があります。

Ivantiの調査によると、生成AIを職場で使用している従業員のうち、15%が承認されていないツールを使用していることが明らかになりました。この数字は今後上昇すると予想されます。 これらはすべて「凡ミス」であり、適切なトレーニング、監督、そして適切に設計されたテクノロジースタックによって最小限に抑えることができる従業員の軽率な行動です。

03

Everywhere Workのセキュリティ

現在の問題

従業員は時間や場所を問わず働きたいと考えています。 多くの企業は、Everywhere Workを生産的かつ安全にするツールやプロセスを提供していません。



これが重要な理由とは?

Everywhere Workは一時的な状態ではありません。 リモートワークのポリシーを廃止する企業であっても、従業員がどこで働いていても、従業員を業務に集中させ、生産性を維持し、安全を確保できるテクノロジーとワークフローを従業員に提供する必要があります。

Ivantiの年次調査では、リモートワークに対する経営陣の認識に変化が起きており、従業員をオフィスに戻したいと考える経営陣が増えていることがわかりました。

2024年の経営幹部の60%が、従業員が生産性を維持するにはオフィスに出社する必要があると考えており、これは昨年の44%から増加しています。

たとえ雇用主が従業員にオフィスの勤務に復帰するよう圧力をかけているとしても、リモートワークがもはや優先事項や懸念ではなくなったというわけではありません。

Quote Icon

オフィスで働く従業員が、仕事用のデバイスを夜に自宅に持ち帰ったり、出張中に電話会議に参加したり、個人所有の携帯電話で業務用アプリにログインしたりする可能性があります。 従業員の半数がリモートで働いている場合でも、ごく一部だけの場合でも、会社が従業員のあらゆる働き方をサポートしていることを保証する必要性は依然として高く、それは従来の勤務時間外の時間帯であっても同様です。

Kristen Kamp
クリステン・カンプ
Ivanti グローバル人事担当上級副社長

04

レベルアップ

現在の問題

セキュリティのリーダーは、デジタル従業員体験(DEX)への投資について、ほとんど意見を求められません。

DEX戦略、投資、計画についてCISOに意見を求める企業はわずか38%にとどまっています。 これは、DEXツールがセキュリティに大きく貢献するという事実に反しています。

DEXツールは、従業員の日常業務を妨げることなく、セキュリティ介入を予防的に自動化することができます。 例えば、企業はデバイスのコンプライアンス違反を検査し、日常的なサイバー衛生上の問題の修正を自動化することができます。これらはすべて、エンドユーザーの作業や対応を必要とせずに実行できます。



これが重要な理由とは?

従業者が面倒であったり、混乱を招いたり、非効率であったりするセキュリティ対策を徹底することはまずありません。 適切なツールに投資することで、その隔たりを埋めることができます。

DEXを考慮したセキュリティにより、従業員の一般的な業務上の行動を変更する必要性が最小限に抑えられます。 当社の調査によると、96%の経営幹部と93%のITとセキュリティの専門家は、デジタル従業員体験を優先させることで組織のサイバーセキュリティに関する取り組みにプラスの影響があると回答しています。

現在、ほとんどのセキュリティの専門家(89%)は、セキュリティ業務を自動化するために、適切なセキュリティ関連のUEMツールに投資していると述べています。 必要なのは、ツールに加えて、考え方を変えることかもしれません。

Quote Icon

CISOは優れた体験の提供に携わる必要があります。そして、当社は、現代のCISOがDEXを非常に真剣に捉えようとしていることを認識し始めています。 セキュリティとは、単にツールやプロセスを組み合わせるだけではありません。 チームで協力する必要があります。 文化と考え方の大きな変化でもあります。

Dr. Srinivas Mukkamale

スリニヴァス・ムッカラ博士
Ivanti 最高製品責任者


05

アクションステップ

専門家たちは、組織が高度なセキュリティと円滑なユーザー体験のバランスを取るにはどうすればよいかについて、意見が分かれています。

従業員の好む行動やワークフローを理解する

多くのCISOはセキュリティに重点を置きすぎて、ユーザー体験を見落としています。過度に複雑な認証プロセス、きわめて制限の厳しいアクセス制御、その他のユーザーに不便なオプションを導入しています。 そして、従業員はテクノロジーの摩擦にぶつかったり、使用を求められるツールに不満を感じたりした場合には、回避策を考えるでしょう。

企業が新しいセキュリティ技術に投資する前に、CISOは時間をかけて、従業員の業務習慣、ワークフロー、使用ツールを理解する必要があります。 そうすれば、セキュリティツールや介入への新たな投資は、従業員の好む働き方に合わせてさらに近づくでしょう。 最終的には、優れたUXが優れたセキュリティを強化します。

生成AIの利用に関する明確なポリシーを策定する

生成AIを使用する際の潜在的なセキュリティリスクを回避するには、ツールだけでなく、そのツールで使用する適切なデータの種類についても、従業員を正しく訓練する必要があります。 従業員は、ツール自体と、データがどこに保存され、どのように利用されるのかを理解する必要があります。

何よりもまず、組織は従業員に利用を許可するAIツールを決定する必要があります。 次に、ツールにインポートでき、ツールで使用できるデータの種類に関するガイドラインとポリシーを策定します。 企業、顧客、あるいは従業員の個人情報といった機密性の高いデータは、企業が管理していないAIツールに入力すべきではありません。 組織の境界外にデータを保存すると、データ漏洩や規制要件違反など、さまざまな問題につながるおそれがあります。

予防的な自動化を導入して、ワークフローの中断を回避します。

最高のセキュリティ対応は、セキュリティ対応がないことです。 ユーザーとサイバーセキュリティツールとの操作や関与は、最小限に抑えることが理想的です。 従業員がセキュリティ対策やツールを回避し始めると、予期せぬ結果やビジネス上のリスクが生じます。 ユーザーに「更新しますか?」と確認するのではなく、自動化を組み込み、バックグラウンドで更新を能動的かつ自動的に展開します。 これは単純な例ですが、セキュリティを日常的なワークフローに組み込むべきであり、ある程度は、ユーザーに見えないようにすべきであるというモデルです。

人間を監視役にする必要はありません。 そして、今こそ、生成AIと最新の自動化ツールに目を向けるべき時です。 生成AIが解決しようとしている第一の課題は、人間のトリアージ、人間の対話、人間が日常的な作業に関与しなければならないことを制限することです。

セキュリティの境界を限界まで拡大

ハイブリッドワークとEverywhere Workは、現代の現実です。 従業員がどこで働いていても、会社の資産を確実に保護するにはどうすればよいでしょうか? セキュリティは境界を越え、周辺部まで拡大する必要があります。 そこで、SASEやゼロトラストのようなテクノロジーの需要が高まっています。 私たちは、オフィスの四方の壁だけを守るという贅沢ができません。また、境界線を定めることさえできません。 今は、その境界はブラウザーです。 境界は、場所を問わず、職場のデバイスを使用しているユーザーです。 境界のないネットワークだと考えてください。何も信用できません。 これは大きなパラダイムシフトです。

最高情報セキュリティ責任者(CISO)をDEXの戦略と計画に関与させる

CISOは、自社のセキュリティ対策やポリシーが業務の生産性や従業員のエンゲージメントにどのような影響を与えているかを積極的に理解する必要があります。 セキュリティリーダーが従業員のデジタル体験(DEX)情報にアクセスできるようにすることで、ユーザーがセキュリティ対策に摩擦を経験したり、回避策を講じたりした場合に事後対応する必要がなくなり、CISOはセキュリティポリシーの決定と実施についてより予防的に対応できるようになります。

構成変更は、組織内のテクノロジー変化の主な要因の1つです。もちろん、進化する脅威の状況に対応する必要性から必要なものです。 残念ながら、変更はユーザーの生産性を大きく低下させる要因となります。

以下の理由から、CISOやその他のセキュリティリーダーがDEX戦略に関与することは必須です。

  • DEXツールの適切な管理とガバナンスを確保する
  • DEXツールをセキュリティのワークフローに組み込む(影響を受けたエンドユーザーからのサービスデスクへの問い合わせを最小限に抑えるなど)
  • 予防的な構成変更やパッチ適用などのシフトレフト対策の効果を測定する
  • 既存のセキュリティツールをDEX機能で強化する

調査方法

本レポートは、Ivantiが2023年後半および2024年に実施した、以下の3つの調査を基にしています。「2024 Everywhere Work レポート:フレキシブルな働き方を促進させるために」「2024年サイバーセキュリティステータスレポート:変曲点」 および「2024年従業員のデジタル体験レポート:CIOによる行動の呼びかけ」のこれら3つの調査を合わせ、世界中の2万人以上の経営幹部、ITプロフェッショナル、セキュリティプロフェッショナル、従業員を対象に調査を実施しました。

どうもありがとうございます!

調査レポートのサマリーをダウンロードする ダウンロード

調査レポートのサマリーをダウンロードする

グラフを含む主要な調査結果やアンケート結果を、プレゼンテーション用のフォーマットで入手できます。