B社に勤める宮本氏は,以前からコンピュータやセキュリティに興味があり,それなりに知識も蓄えていたことから,自社のセキュリティ担当者に任命された。宮本氏は,それまでに得ていた知識や,セキュリティ担当者として改めて調べた情報などを基に,張り切ってセキュリティ強化のための施策を考えた。
しかし,それを適用しようとしたところ,のっけから挫折を経験する。
立案したルールの一つに「アカウント権限の制限」があった。一般に管理者権限(Administrators権限など)の乱用は望ましくないとされている。管理者権限を何らかの形で奪われると,たとえクライアントPCでも,それを足がかりに社内ネットワークに自由にアクセスされてしまう。そこで,セキュリティ担当者やシステム部門などを除き,各ユーザー・アカウントの権限を低くする施策を打ち出し,社内のユーザーに理解を求めた。
ところが,ここで血相を変えて怒鳴り込んできたユーザーがいた。ちょうど中間管理職に当たる地位のユーザーたちだった。
「オレには部下もいるし,人を管理する立場にある。どうしてオレから管理者権限を取り上げるんだ!」。
全く理不尽な要求だった。宮本氏は,そんなことを言われるとは予想もしていなかった。できる限り冷静に,かつ丁寧に趣旨を説明したが,それでも分かってはもらえない。
相手は社内組織からすれば,宮本氏よりも立場は上の社員だ。セキュリティ上の必要性よりも,社内の上下関係で押し切られてしまった。やがてその話は広まり,「オレも,オレも」と同じ要求が宮本氏のところに寄せられた。一度認めてしまった例外は,結局例外ではなくなり,社内のアカウント権限の管理はできなくなってしまった。
宮本氏としては,セキュリティの“イロハ”として管理者権限の危なさを説明したつもりだった。だが,「管理職の人たちは,自分が理解できないことを受け入れようとはせず,何より既得権を奪われることに強い拒否反応を示した。この姿勢を崩すことはなく,いくら説明しても無駄だった」と肩を落とす。
「セキュリティに少しでも理解があれば,分かってくれてもよさそうなのだが…」と思いながら,宮本氏はセキュリティの運用ルールから「アカウント権限の制限」を黙って削除した。
このケースには問題点が二つある。一つは,宮本氏をセキュリティ担当者に指名したのはいいが,そのために必要な業務上の権限を会社が与えていなかった点。もう一つは,セキュリティ担当者が定めたルールを,受け入れようとしないユーザー側の問題だ。特に,ユーザーが社内の「上下関係」を盾に理不尽な要求を突きつけてきた点は要注意である。
もし会社が宮本氏に適切な業務上の権限を与えていれば,彼は管理職の要求を突っぱねて,定めたルール通りの運用を徹底できたはずである。社内の上下関係を乗り越えられる権限が与えられていなかったということは,セキュリティ対策の重要性や仕事の大変さが,まだ十分に理解されていないということを示している。
また,このケースでは「社内ユーザーの実組織における階層構造」と「PCの管理における階層構造」の混同ぶりにも驚かされる。両者が全く別物であることは,ユーザーにある程度の理解力があるなら,丁寧に説明するだけで伝わるはずなのだ。
だが,そう簡単に説得できないところがユーザー対応の難しさだろう。セキュリティ担当者は,いわば業務改革を進めるかのような,強い気持ちで取り組む必要がありそうだ。
