あるシステム開発者は,こう語る。「社内でセキュリティ担当者グループを組織しているが,基本的な情報収集すらしていない。いつも担当外の者から不十分な点を指摘され,その場限りの対応をするだけ。この怠慢ぶりに不安を抱いている私は,たびたび社内で対策を十分するように訴えているが,いまだに聞き入れられない」――。
こうした話を聞くと,一部にセキュリティ意識の高い人がいることは分かるが,現場全体として見たとき,「本当に危機感があるのだろうか?」と考え込んでしまう。
セキュリティのリスクがかつてないほど高まっていることは,誰もが知っているはずだ。ここ数カ月を振り返るだけでも,アデコやカカクコム,クラブツーリズムのように,Webサイトが不正アクセスを受け,一時閉鎖に追い込まれる事件が立て続けに起こった。情報漏洩事件も,いまだに毎日のように報道されている。
ウイルスによる被害も相変わらず多い。IPA(情報処理推進機構)によると,2005年上期のウイルス検出数は前年同期比で約30%増。また,スパイウエアで不正入手したと思われるインターネット・バンキングのIDとパスワードで,預金が引き出される事件も相次いでいる。
技術対策の前に「人」に問題あり
事件が起きないように,取り組むべきことは増える一方である。
それにもかかわらず,セキュリティの現場の実態はひどいものだ。日経SYSTEMSは「IT Pro」上で,セキュリティの実態に関するアンケートを実施した。ここには,回答者の悲鳴とも受けとれる声がたくさん寄せられた。
「重要なサーバー・ルームには鍵がかかっていない。しかも,途中で全く人に会うことなくたどり着ける。入退室管理をしていないので,不審者を見分けるには人の目だけが頼り。ざっと思いついただけでも,こんな具合だ。組織が大きいため,思うようにセキュリティ対策が進んでいない」(エンドユーザー)。
セキュリティの「セ」の字も感じられないお粗末さだが,もっとずさんな話はいくつもあった。
このような状況を生んだ原因はいったい何なのだろうか。セキュリティ対策を進めるには,大きく分けて「ルール(ポリシー)」「予算」「人材」「技術」が必要だ。これらの一部でも欠けると,対策が不十分になる。しかし,アンケートの回答を見渡したところ,「現場がずさんな状態になる原因は,突き詰めれば『人』にたどり着きそうだ」ということが明らかになった。
セキュリティの現場の深層を探るシリーズの第1回は,回答者の声を通してこの問題を考えていきたい。
