ITのコンシューマライゼーション ? それは何か、なぜそうなったか？（CA Security Reminder）

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Sumner Blount は、これまでのようにユーザがITのルールに従うのではなく、ITがユーザに従うように変化していく点がITコンシューマ化の本質であると説きます。

--「申し訳ございませんが、そのデバイスはサポートされていないためお使いいただけません」

何度もこの言葉を耳にした方なら、それを言った相手にこの記事を読ませたくなるでしょう。

多くのユーザはITリソースへのアクセス方法に設けられた制限に苛立ちます。ときにはまるでITが全てを制御しているかのように感じられ、望もうが望むまいがユーザ側がITに順応しなくてはなりません。

しかし、近年ITの世界は「ITのコンシューマライゼーション」と呼ばれる大きな変貌を遂げようとしています。この傾向はデバイスが常に新しく高性能に進化するのと同様、そして標準的な労働者がよりモバイル化するのと同様、おそらく続いていくでしょう。

ITのコンシューマライゼーションを単に、新型の洗練されたコンシューマ・デバイスをサポートするという意味だと信じる人々もいます。しかし、最初の兆候がそういったことであったとはいえ、この傾向は実際にはもっと重要で影響の強いものなのです。Facebook、Twitter、LinkedIn、Google+、など、他者とのコミュニケーション手段であるソーシャルメディアの絶大な支持もITのコンシューマライゼーションに含まれます。クラウド基盤サービスの目覚ましい成長もまた、しばしばこれに含まれるとされます。

しかし、これはデバイスに限った話ではなく、「制御（コントロール）」の変化に関わることなのです。ITの役割は変化していますが、この変化はどうやら長く続きそうです。ユーザがどうやってITリソースに接触するか、またどのデバイスやアクセス方法が受け入れ可能かに対し、ITはもはや杓子定規ではいられません。ユーザはこれらデバイスを「（意思を持って）使う」のだから、ITはユーザに適応しつつ、提供するセキュリティの保証や利便性のサポートをしなくてはなりません。ITはかつて、ユーザに対して「我々のルールに従って下さい」と言うことができました。今や、ITの方が集団の一員としてユーザのルールに従わなくてはならないのです。

ユーザのITへ対する期待という点でも変化しています。ソーシャルメディアに精通した今日のユーザは新しいウェブサイトやアプリケーションで瞬時に満足することに慣れており、このような期待を企業のITにも持ち込みます。彼らは時間のかかる承認に、旧式のデバイスのみのサポートに、そして過去にはよく見られた管理欠如にもはや我慢できないのです。

これらのトレンドによる影響は、正確には「コンシューマ志向型IT」と定義されるITにおける新モデルとなるでしょう。ユーザたちはITに対する要求を行使するようになるでしょう。それは一つには中央ITグループに制御されないコンシューマ・デバイスを受け入れることによるものです。これによりITとそのユーザとの間だけでなく、ITとビジネスとの関係性も新たなものとなってきます。ITは技術の単なる門番ではなく、ビジネスを可能にしてくれるものになりうるのです。そういう意味ではこの傾向は、ITが新モデルへと変化するための機動力として働く潜在能力を持っているといえます。

このような傾向がなぜ今起こっているのでしょうか？関連するいくつかの要因を以下に列挙します。

パーソナルデバイスの継続した革新　—　コンシューマ市場向けのITデバイスはより強力に、身近になり、そして安くなった。
ソーシャルメディアや関連アプリケーションの利用者増加　—　この記事を書いている時点で、Facebookのアクティブユーザは7億5000万以上、そのうち2億5000万はモバイルデバイスからアクセスしており、彼らはFacebookに毎月7000億分以上費やしている。
ビジネスの外在化　—　クラウド基盤サービスの利用やその他の機能の外部委託を含む。
個人の生活と仕事の境界線の曖昧化　—　労働力は日々より分散し、持ち出し可能に、そして在宅におけるものに変わっている。
ITのコンシューマライゼーションは重要な組織的影響を与えているようです。逆説的ですが、この傾向はITによる制限の拡大と減少を両方生んでいます。ITに対する責任範囲は、ITの役割がファイアウォールまでに留まらないため、拡大します。統合するネットワークはいまやユーザやユーザ固有のアクセスデバイスへ広がっているからです。例えば、ユーザが部外秘の情報をiPhoneへダウンロードし、間違えて（もっと悪い場合は意図的に）組織外の人物へメールで送ってしまう可能性があります。ITの企画の段階で、このような多様なデバイスへ向けたセキュリティが対応の重大な要素になる必要があります。（非公認ユーザからの）攻撃や、公認ユーザによる不適切なアクションを防御するため包括的なアイデンティティ/アクセス管理能力も必要なのです。

しかし同時に、ITが行使できる制御（コントロール）は減少しています。ユーザたちがITリソースを柔軟に利用したいという希望のまま、もっと大きな力を行使し始めれば、意思決定はより民主的になるでしょう。（民主的というより「カオス的」と解釈するIT担当者もいるかも知れません）

技術的な影響も発生するでしょう。コンシューマ・デバイスから企業のITリソースへアクセスすることにより新たなリスクが生じ、そのリスクを軽減しなくてはならないため、セキュリティはより一層重要となります。加えてアクセスポリシー施行の評価における状況変数の重要性が増すに従い、ポリシーの実施はより柔軟で動的になるべきです。例を挙げると、ユーザ認証が試みられた際にその認証が承認されるべきかどうか、もしくはもっと厳密な追加の認証が必要かどうか判断するのに、状況変数（位置、時刻、直近のユーザアクティビティなど）が重要になります。最終的にはアクセスの透明性が増すでしょう。アクセスを受ける資産が仮想化され、オンプレミスやクラウド、もしくはその二つが混在した環境を通して利用できるようになるにつれて、ITサービスの境界は外部ユーザに対して徐々に透明性を増してきています。ユーザは、速く、便利に、そして安全にアクセスできさえすれば、これらの資産がどこに存在するかなど気にかけなくなるでしょう。

まとめると、ITのコンシューマライゼーションはここ数年続いている重要な傾向です。この傾向により、ユーザがITリソースへアクセスする方法やITとユーザやビジネスとの関わり方に大きな変化が起こるでしょう。

今後の記事でも、このトピックについて引き続き意見を述べていきます。また、追加のコンテンツやその他のセキュリティ課題についてもご覧ください。そして、どのようなセキュリティ影響が存在するとお考えか、ご意見をいただければ幸いです。これらのデバイスへ降り掛かるセキュリティリスクは、ただの一台のノートパソコンとはどう異なるのか？一人のITリーダーが、複数のコンシューマ・デバイスやそれらのセキュリティリスクを扱う際に考えるべきこととは何であるのか？

（Sumner Blount）

筆者略歴：エンタープライズ向け大手IT企業でのソフトウェア製品の開発およびマーケティングの25年の実績を持ち、現在、CAのセキュリティ・ビジネスユニットでディレクタを務める