エンドユーザーの不満
前回の「答え」で,情報システム部門が,社員によるUSBメモリーの使用を禁止にしたい理由はよく分かりました。しかし,USBメモリーが使えないと業務に支障が出るので,皆「禁止だ」という通達を無視して,上に隠れてUSBメモリーを使っているのが現状です。何かが間違っているのではありませんか?
前回から引き続いて,USBメモリーの話題です。幸いにも皆さんの反響も多く,皆さんこの件でお困りだとよく分かりました。特にWeb媒体の記事ということで,ほぼリアルタイムに反響があるのも,書き手としては手ごたえを感じる点でした。本コラムはできるだけ双方向性を活かしたいと思いますので,引き続きよろしくお願いします。
まず,今回のお題の方の会社では,ルールとしてはUSBメモリーの使用が禁止されているが,業務上のワークフローを無視したルールであるため,業務優先でなし崩し的にUSBメモリーの利用が黙認されている--,という現状ではないかと思われます。
このような組織の状況を「ISMS(Information Security Management System)」のレベルに照らし合わせて解説し,組織の状況に合った対策を示していこうと思います。
まず,表にある「ISMSにおけるセキュリティ・レベル表記」をご覧ください。ここでは,組織におけるセキュリティ・レベルを,「レベル0」から「レベル5」まで6段階で表しています。今回はこのレベルに合わせて,私の想像と経験を元に,その組織が置かれている状態と対策を解説していこうと思います。
| レベル | 状態 |
|---|---|
| レベル5 | すべてのサイクルが有機的に結合している |
| レベル4 | マネジメント・システムのサイクルを定期的に見直している |
| レベル3 | 全体のマネジメント・システムが機能している |
| レベル2 | セキュリティ・ポリシーを実行している |
| レベル1 | セキュリティ・ポリシーはあるが,実行されていない |
| レベル0 | セキュリティ・ポリシーが策定されていない |
レベル0:セキュリティ・ポリシーが策定されていない
これをUSBメモリーの管理に限っていえば,USBメモリーの管理ルールが無い状態といえますから,これは論外といえるでしょう。あなたの組織がまだこのレベルなら,早急にルールを策定する必要があります。特にUSBメモリーとモバイルPCの盗難・紛失,自宅PCからのWinnyネットワークへの業務情報漏えいは,「3大情報漏えいリスク」と考えられています。社内で何らかのルールを定める必要があります。
レベル1:セキュリティ・ポリシーはあるが,実行されていない
今回のお題の方の企業は,この「レベル1」に当たるでしょう。USBメモリーを使用禁止にするルールはあっても,業務実態を反映していないため,業務優先でルールが無視されている状態になります。
このレベルのよくあるパターンとしては,例えばUSBメモリーの使用を禁止しているが,禁止されているのが私物USBメモリーなのか,すでに購入している会社のUSBメモリーも禁止なのか,デジカメのSDカードの扱いをどうなるかなど,ルールの掘り下げが甘かったりします。また,ルールを守る側(=エンドユーザー)にルールを守るよう強制させていなかったり,抜け道があったりするのがこのレベルの特徴です。
レベル2:セキュリティ・ポリシーを実行している
同業他社に情報漏えい事件が起きて,経営層のお尻に火がついているものの,現場レベルではまだ「対岸の火事」くらいの危機意識でいるレベルです。
このレベルでは,ルールがある程度こなれてきて,例えば,「私物のUSBメモリーは使用禁止で,会社が支給したUSBメモリーの利用のみ許可。USBメモリーに情報を書き出す場合は,暗号化が必須。USBメモリーにどういった情報を書き出して持ち出したかを記録する」,といった最低限の必要なルールが規定されています。
しかしながら,このレベルではまだ,マネジメント・システムにおける「PDCAサイクル(計画:Plan,実行:Do,点検:Check,是正:Act)」における「点検:Check」が甘く,まじめにポリシーを運用している部門と,そうでない部門とに差が生じています。裏を返せば,「点検:Check」を適切に行えば,1つ上のレベルにステップアップできるわけですから,「後一歩」のレベルであるともいえます。しかしながら,コストの問題や,従業員全員にルールを浸透しきれないといった問題があるため,多くの企業がここから先の段階に踏み込めていないのが現状です。
レベル3:全体のマネジメント・システムが機能している
自社ですでに軽微な事故が起きて,当事者意識が現場レベルに浸透しつつあるのがこのレベルです。このレベルでは,USBメモリーへの情報の書き出しを記録する「ログ」がシステム的に取得されていたり,USBメモリーを個別管理とせず,鍵のかかるロッカーや机などで上長が管理し,USBメモリーの使用時には情報の持ち出し管理簿などへ記入させたりするような対策ができています。
このレベルになると,会社としても,それなりに予算をつけてUSBメモリーに関する対策を行います。例えば,エンドユーザーの意識レベルや技術レベルに依存しない形でセキュリティ・ポリシーを運用できるように,パソコンのOSの機能を使って,社内の従業員が使う一般PCにおけるUSBメモリーの使用を禁止したり,特定の端末からのみUSBメモリーへの書き出しを許可したり,ハードウエアによるパスワード暗号が実装されたUSBメモリーを配布したり,しています。さらに上のレベルを求めるならば,パスワードは「属人管理」(ユーザーの技術レベル,意識レベルに依存する管理手段)になるので,指紋認証を採用した暗号機能搭載USBメモリーを,業務上必要な部署に配布したりしています。
情報システム部門が適切に「点検:Check」を行うことで,不必要なコストをかけずに,情報漏えいを起こさず,全体のセキュリティ・レベルを維持できます。
レベル4:マネジメント・システムのサイクルを定期的に見直している
レベル3における複数回の「点検:Check」を経て,更なる上のセキュリティ・レベルを目指した結果に到達するレベルです。例えば,USBメモリーの使用に関しても,許可されたUSBメモリー以外利用できないようにシステム的な制限をかけたり,社内の情報をあらかじめ暗号化することで社内のネットワークから外に出ると情報が読み込めなくなるような仕組みを導入したりすることで,情報が漏洩しても,情報の機密性が確保できるようになっています。このような対策が行われていれば,エンドユーザーの意識やスキルにレベル差があっても,確実にセキュリティ・レベルが守られます。
非常にコストがかかるので,組織としてこのレベルに達するのは並大抵の努力では難しいと思います。それでも,重要な情報資産を扱う企業であれば,このレベルを目指すべきでしょう。
レベル5:すべてのサイクルが有機的に結合している
このレベルは,その組織に新たなリスクが発生したとしても,セキュリティ対策が未然に行われ,そのリスクが発現する前に,リスクの「芽」を摘み取れるというレベルです。もっとも,現実的にはレベル5に到達するのは,並大抵のことではありません。例えば航空業界では,ある時期に事故が多発すると,その後しばらくは事故の少ない時期が続き,数年経つとまた事故が多発する時期が来るという「周期性」があると言われています。その周期は5年間隔だとのことですが,これは,技術者の悪い意味での「慣れ」や,コスト優先による安全の軽視などの組織運営の緩みが原因になっています。レベル5を維持するのがいかに難しいか,お分かり頂けるのではないでしょうか。
実際の組織においてレベル5を目指すのは,コストとセキュリティのバランスから難しいでしょう。時代や社会情勢によっても,レベルの定義は変わります。よって,レベル3とレベル4をいったりきたりしながら,これを維持するのが現実的ではないかと思います。
