先日,セキュリティ製品を手がけるある米国ベンダーのセミナーに出席する機会があった。そのセキュリティ製品は,「フォレンジック・ツール」と呼ばれる分野のソフトウエアで,パソコンやサーバーのハードディスクからデータを復旧し,法的証拠として利用できるように保全するというもの。日米の捜査機関が,不正を発見するために利用しているともいわれている。会場には30人ほどが集まり,来日したベンダー講師の話に熱心に聞き入っていた。

 実はこのツール,販売代理店が国内販売を開始したのは数年前のことだ。ツール自体の機能は,目を見張るほど高い。意図的に消去されたデータはもちろん,ハードディスク上で断片化されたデータであっても部分的であれば修復することができる。ユーザーに気づかれないよう,ネットワーク経由で遠隔地にあるパソコンのハードディスクの内容までチェックできる。

 米国では大手企業を中心に数百社が利用しているというが,今のところ日本企業の導入実績はまだ数社なのだそうだ。

 ここへ来て日本企業でも,クライアント管理ソフトやログ収集ソフトを導入し,内部不正を取り締まる動きが活発化している。しかし,日本企業によるセキュリティ対策の取り組みは,どこか欧米のそれとは方向性が異なるような気がしてならない。それを象徴する言葉が,「抑止力」ではないかと考えるようになった。

うまく働けば絶大な効果

 日本企業やベンダーに対してセキュリティに関する取材をすると,抑止力という言葉をよく耳にする。不正行為そのものを直接的に取り締まるというよりは,不正行為を思いとどまらせることで,いわば間接的にセキュリティを高める作用を期待している企業が多いのだ。

 例えば,クライアント・パソコンの操作履歴や,サーバーのアクセス・ログなどをチェックする仕組みを整えて,クライアント・パソコンで不正な操作をしたり,サーバーに不正アクセスしたりするのを抑止する。特に最近は,個人情報保護法や日本版SOX法などに対応することを迫られていることもあり,通信履歴やサーバーへのアクセス利用履歴を記録する取り組みを始めたユーザーは多い。

 確かに抑止力は,うまく働けば大きな効果がある。何しろ,記録を取るだけで,実際に防御策を講じていない行為まで取り締まることが期待できる。高価なセキュリティ対策製品に頼る必要はなくなるので,コスト面でのメリットも大きい。また,不正行為を生む根本である人間の心理に対して働きかけるため,小手先の不正対策よりはよほど抜本的だ,という見方もできる。

 しかし,実際に不正な操作やアクセスを抑止力だけで防ぐことができるかというと,当然防げない。にもかかわらず,多くの企業が抑止力をアテにしすぎてはいないだろうか。

グローバル化で通用しなくなった抑止力

 それを痛感したのは,今年3月に海外進出した日系企業の取材をしたときのことだ。取材した現地法人の情報システム担当者は,「こちらでは,日本のセキュリティ対策が通じない。現地採用の社員はセキュリティ対策が甘いところを面白がって探し,機密情報を盗み見ていく」と呻(うめ)いていた。「日本並みのセキュリティ対策は通じない。抑止力なんてとんでもない」というのだ。

 同様のコメントを聞いたのは,1社だけではなかった。ある日系企業は盗難防止のため,特別にしつらえた2重にカギをかけられるキャビネットにノート・パソコンを仕舞っていた。別の日系企業は,日本人社員と現地採用社員のLANを物理的に分けて,セキュリティを確保していた。「重要なサーバーには,日本人だけしかアクセスさせない」というわけだ。

 このような実情を目の当たりにすると,日本流の「抑止力」がいかに生ぬるいものかがわかる。グローバル化を進め,海外でのビジネス展開を拡大する日本企業にとって,今後は海外拠点とネットワークを接続し,システムを連携させる必要性が急速に高まる。さらに言えば,法規制が厳しくなっていることを考慮すると,情報漏洩によって法的責任を問われるリスクも年々高くなっている。抑止力だけに多くを期待するのは,危険だ。セキュリティ対策に取り組む姿勢や考え方を,抜本的に見直す必要性があるのではないだろうか。