セキュリティ・レベルを確保するために各種のハードウエアやソフトウエアをそろえたところで,それらを使うのはあくまで「ユーザー」である。彼らがセキュリティ・ポリシーに沿って行動してくれないと,いくら道具をそろえ,セキュリティ担当者が奮闘しても,ウイルス感染や情報漏洩などの危険から自社システムを守り抜くのは難しいだろう。やはり,ユーザーの協力が必要不可欠である。

 だが,いくら口を酸っぱくして注意しても,ユーザーはなかなか言うことを聞いてくれない。多くの現場では,「やっていいこと」と「悪いこと」の区別もつかないユーザーが,うっかりミスを連発したり,セキュリティ担当者の目を盗んで(あるいは堂々と)勝手放題を繰り返したりしている。

 根本的な問題がユーザー教育にあることは分かっている。だが,さまざまな要因により,ユーザーのセキュリティに対する知識が乏しく,セキュリティ意識も育っていない現場が非常に多いのだ。今回は,こうした無知で身勝手なユーザーに悩まされるセキュリティ担当者の声を報告する。

何も考えずに機密情報を送信

 製造業A社でセキュリティを担当する川口氏は,ユーザー教育に頭を悩ませている。ただし,「『セキュリティ』に関する教育の仕方で悩んでいるわけではない。そういう悩みならまだいい。残念ながら,それ以前の問題で困っている」というのが実情である。

 川口氏が言う「それ以前の問題」とは,基本的なパソコン操作やオフィス・ソフトに関する知識不足を指す。「この部分を何とか改善しない限り,いくらセキュリティを訴えても全く通じない」と痛感している。

 一例を挙げよう。ある社員が,外部に絶対漏らしてはいけない「製品原価一覧」を,見積書と一緒に取引先に渡してしまう事件を起こしたことがある。決してこの社員は情報を売り渡そうとしたわけではない。ただ,無知なだけだった。

[画像のクリックで拡大表示]

 この社員は見積書を,所定のExcelテンプレートに従って作成した。見積価格を簡単に算出できるように,見積書として取引先に提出するシートの下に,製品原価の一覧データを記録したシートが用意されていた。本来なら見積もり作業が終了したところで製品原価一覧のシートを削除し,見積書のシートだけを取引先に送るべきだった。ところがこの社員は,製品原価一覧のシートを削除せず,Excelテンプレートをそのまま取引先に送信してしまったのだ。

 川口氏は,「Excelで見積書を作る方法は分かっていても,Excelベースのテンプレートがどういう構造になっていて,どういうデータを持っているかまでは理解できていない。だから,重要な情報がファイルに含まれていても,その社員は気付かなかった」と見ている。こうした現実を目の当たりにして,「セキュリティを説く前にパソコンやネットワークの基本的な知識を教える必要がある」と考えるようになった。

 知識不足や意識の低さを感じるのは,この事件からだけではない。川口氏はプロキシ・サーバーのログを収集し,監視している。社内PCからインターネットへの業務上不適切なアクセスを防止するためだ。

 だが,「ログを取っているぞ!」と社内にアナウンスしているのに,一向に望ましくないアクセスは減っていかない。それどころか,会社のPCに「Winny」(ピア・ツー・ピア型のファイル共有ソフト)をインストールする者までいる。

 どうやら,インターネット・アクセスを監視しても,ユーザーにはその意味が分かっていないようなのだ。どういう仕組みで,どういうログが残るのか,ネットワークやインターネットの基礎的な知識が欠けている。川口氏のセキュリティ対策は空回りに終わった。

 ユーザーがしっかりとしたセキュリティ意識を持つためには,「なぜセキュリティを保つことが必要なのか」「セキュリティ・レベルを損なわないために,何を実施すべきなのか」を理解する必要がある。

 だが,こうした理解のために最低限必要な知識すら,ユーザーに欠けていることが少なくないようだ。製品原価一覧を付けたまま取引先に見積書を送ってしまった社員の例は,まさに基礎的な知識が乏しく,自分が扱っているファイルに重要なデータが含まれているという意識の低さを顕著に表していると言えるだろう。

 セキュリティに関するユーザー教育は,場合によっては「基礎の基礎」から一歩一歩進めていかねばならないかもしれない。しかし,それでは目下必要なセキュリティ対策にはなかなか行き着けない。このケースは,ユーザー教育が一筋縄ではいかないことを如実に示している。