エンドユーザーの不満
私の会社では,USBメモリーの使用が禁止されています。というのも以前,業務データをUSBメモリーに入れて持ち出した人が,それを紛失してしまう騒ぎがあったからです。とても便利なツールなのに,会社で使えないのは不満が募ります。おかげで自宅作業ができず。残業時間が増える羽目になりました。情報システム部門はなぜ,このようなことをするのでしょうか?
情報システム部門はあなたの「敵」ではありません
今回,このお題を取り上げさせていただきましたのには,理由があります。実はこのお題には,企業が直面しているセキュリティ対策の問題点が,すべて詰まっているからです。連載初回にしてリーサル・ウェポン(最終兵器)のような設問ですが,エンドユーザーと企業の情報システム部門との間で,今何が起きているのか,読み解いて行きたいと思います。
まず,このお題を投稿された方のプロファイリングを勝手にしてみたいと思います。この方はおそらく,家庭ではよき夫,よき父親なのでしょう。それでいて時には,スケジュールが厳しくなった仕事を自宅に持って帰って,スケジュールの帳尻を合わせるのもいとわないことから,上司の覚えも良く,社内でも業務面でのリーダー・クラスのポジションにいらっしゃる方ではないかと思います。
そんな,リーダー・クラスのこの方の目には,USBメモリーは「安価」であり,文書や自分のお気に入りのアプリケーションなど格納することで,どこででも自分の業務効率を上げられる,便利なツールであると映っていたのではないでしょうか?
かくいう私も,昔はフロッピ・ディスクに自分のお気に入りのエディタや日本語入力環境を入れて持ち歩いていましたので,その気持ちはよく分かります。
そんな業務に前向きなこの方にとって,最近,社内の情報システム部門が唱える,「私物USBメモリーを使うな」「業務データを自宅に持ち帰るな」という,業務効率を下げるとしか思えない通達は,なかなか理解し難いのではないでしょうか。
つまり,この方にとって,情報システム部門は「敵」として映っているのではないかと懸念しているのです。
なぜ,このような誤解が生じてしまったのでしょうか。
情報システム部門はなぜUSBメモリーを禁止した?
ここで,はたと立ち止まって,なぜ情報システム部門が,このようにUSBメモリーを利用禁止にしたり,業務データの勝手な持ち出しを規制したりするようになったのか,経緯を述べたいと思います。
きっかけは,個人情報保護法と,ファイル共有ソフト「Winny」を通じた情報漏えい事件でした。
かつて,モバイルPCやUSBメモリーは,せいぜいその購入代金程度の資産価値しかない扱いでした。しかし個人情報保護法が施行されて以来,それらの価値は「その中に保存されているデジタル・データの価値」で判断されるようになりました。
日本ネットワークセキュリティ協会(以下JNSA)が発表している統計データからは,フロッピ・ディスクやUSBメモリーなどの「可搬媒体」経由の情報漏えいが多いという事実が読み取れます(関連情報:JNSAのWebサイト)。
また,Winnyを通じた情報漏えい事件は,現在でも頻繁に発生しています。最近では日銀の松江支店の職員が自宅でWinnyに感染して日銀の業務データ,日銀の顧客の銀行のデータ,銀行の顧客データなども流出した件は記憶に新しいと思います。
これらの事例は,インターネット上の「まとめサイト」などに,今でも更新されて記録されています(関連情報:Winny個人情報流出まとめ)。企業や団体の不名誉な記録は,このようにインターネット上に長く残されているのが現状です。
皆さんは,USBメモリーなどを安易に持ち歩いて出先や自宅でそれをなくしたり,業務データを自宅に持ち帰った結果,自宅のパソコンにインストールされたWinnyを経由して,業務データがWinnyネットワークに流出したりするという事件が多発していることは,よくご存じだと思います。ただ,多くの方にとっては,自分には関係のない「対岸の火事」だと思われているようです。
実は,こういった事件に当事者意識を持ち,危機感を持っている人がいます。それは,あなたの会社の経営層です。なぜなら,こういった事件が起きたときに,プレス・リリースで謝罪するのは経営層です。またなにより,事件によって重要顧客が離れる経営リスクを彼らは懸念しています。
そのため,会社の経営方針として,情報漏えい防止の施策を定め,USBメモリーを使った業務情報の社外への持ち出しや,自宅PCで業務をしたことによるWinnyネットワークへの情報流出などに,歯止めをかけたいと考えているわけです。
その意を受けて,情報システム部門が行っているのが,USBメモリーの使用禁止や,自宅での業務禁止といったルールや,システム的な対策なのです。
つまり,これらの施策を支持したのは,情報システム部門ではなくて,経営層なのです。今回,質問を寄せた方には,経営層の方針がまだ行き届いてないのかもしれません。その結果「情報システム部門は業務効率を下げる敵だ」という,大きな誤解をされているのでしょう。
ユーザーを守っているつもりが「敵」扱い
このように,エンドユーザーを守ろうとする情報システム部門のセキュリティ対策が,エンドユーザーに正しく理解されず,かえって敵視されてしまうケースは,様々な会社でよく見受けられることです。
これは,情報セキュリティ対策の理想と現実に,ギャップがあることを意味しています。このギャップを埋めなければ,数百人に1人必ずいるといわれる「ルール・ブレイカー(ルールを破る人)」によって,ルールが破られ,情報漏えいのリスクが顕在化してしまうかもしれません。
こういったリスクを避けるためには,地道にですが「教育」しかないと思います。
今回のケースのように,会社のセキュリティ対策に不満を持つ人は,実は「業務を何とか効率化したい」と常に考えている,業務部門のオピニオン・リーダーだったりするものです。情報システム部門としては,このような方こそ味方に引き込んで,情報セキュリティの分野でも,オピニオン・リーダーになって貰うことが重要です。
そのためには,もし自社で,情報漏えい事件が起きたら会社がどうなるか,身を持って感じて貰うような教育が不可欠でしょう。学問に王道なしといいますが,情報セキュリティ対策にも王道はありません。地味に,エンドユーザーの意識を変えて行くことこそ,本当にやらなければならない情報セキュリティ対策なのかもしれません。
では,皆さん,長い道のりですが,一緒にがんばっていきましょう。
最後に,情報セキュリティ教育に関して,いくつかの経験則をご紹介させて頂きたいと思います。
・情報セキュリティの教育は,エンドユーザーにルールを周知したという事実が重要である
ルールの周知とその実績があれば,会社としてやるべきことをやっていたと,会社の免責になる。エンドユーザーにとっても抑止効果がある。受講実績の記録は,かならず保管すべきである。
・情報流出は,1度目は免責されるが,2度目は厳罰を処される可能性が高い
情報システム部門としては,エンドユーザーに厳罰を受けさせないよう守るという意識が必要である。
・経営者が情報流出に関してプレス・リリースを出すようになったきっかけは2つ。個人情報保護法とWinny情報漏洩事件である。
・個人情報保護法施行以降,USBメモリーやノート・パソコンは,本体よりも中身のデータの方が重要になった。Winny情報漏えい事件以降,自宅で作業は厳禁となった。
・基本的にユーザーは楽なほうに流れる。
もし,ユーザーにセキュリティ対策を守ってもらいたいなら,会社はそれ相応の代替策を提示すべきである。例えば,既存USBメモリーを全廃して,指紋認証機能が付いたデータが暗号化できるUSBメモリーを再配布するなどの施策である。
情報システム部門は,エンドユーザーが苦労せずに,安全が保てる仕組みを作るべきだ。暗号化機能が付いたUSBメモリーなどは,1個数万円程度のコストであり,それほど経営を圧迫する投資にはならない。孫子の兵法にも「人を動かしたければ,そうせざるをえないように追い込め」とある。セキュリティ対策に欠かせない考え方である。
・2007年3月に個人情報保護のガイドラインが改定され,情報漏洩させても暗号化などのセキュリティ対策を適切に行っていれば,免責されることがあると例示されている。
|
|
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
