長沢氏は,あるソフトウエア・ベンダーでシステム・エンジニアをしている。長沢氏の会社では情報漏洩対策を強化する施策の一環として,リモート・アクセスを制限するセキュリティ・ポリシーを定めていた。しかし,長沢氏をはじめとする社員の間では,「とても現場の業務を理解しているとは思えない」と不満が募っていた。
その原因は,リモート・アクセスが課長以上の役職者にのみ許可され,長沢氏ら一般社員には一切認められなかったことにある。
役職者はオフィスにいる時間が長く,リモート・アクセスは必要ない。その一方,現場の一般社員は客先から客先へと飛び回るのが日常で,オフィスには夜遅くにしか戻って来られないのだ。しかも,オフィスは最寄り駅から遠い場所にあり,不便だった。
特に,長沢氏の同僚である営業担当者たちは苦労していた。営業活動に必要な「ソフトウエア製品カタログ」や「仕入れ値データ・ファイル」などは,すべて社内のグループウエアから入手する必要があったからだ。メールや業務システム(在庫確認などに利用)もグループウエアからでないと利用できず,そのためには一度帰社する必要があった。
そうした現実にもかかわらず,リモート・アクセスが必要なユーザーにはそれが許可されず,大して必要もないユーザーには許可されている。一般社員の間では,「なぜこんなポリシーを作ったのか」という声が次第に強くなった。
そして,とうとうセキュリティ・ポリシーを破る社員が現れた。上司や情報システム部門の目を盗み,テスト用に備えていたPCと電話回線を接続して,RAS(Remote Access Service)サーバーを設置してしまったのだ。
周囲の社員は,「見て見ぬふり」をしてくれるばかりか,むしろ積極的に支援する始末だった。あまりに理不尽なルールへの不満は,一般社員の気持ちを一つにしていたのだ。
RASサーバーを設置した社員は,内緒で設置したサーバーだから,認証や暗号処理などが十分でないことを承知している。このサーバーの存在を知る社員らは,ときどき「ここにクラッカの攻撃を受けて,外部から侵入されたらヤバイよな…」とささやき合う。だが,誰もやめようとは言い出さなかった。
現場の実態とあまりにかけ離れたルールは守られない。このケースは,それを如実に示している。
セキュリティを理由に,リモート・アクセスを制限するのは当然のことだ。必要のないユーザーにはリモート・アクセスを許可せず,一部のユーザーに限定するのは定石と言える。
しかし,「リモート・アクセスを許可する基準が実態に合っていなかった」というのがこのケースの問題点だ。一般には役職者に高いアクセス権限を割り当てる(つまりリモート・アクセスも許可する)と考えがちだが,そう単純なものではない。
このケースにおいて,セキュリティ・ポリシーがどのような要件に従って決められたのかは不明である。しかし,「リモート・アクセスが必要なユーザーにだけ許可する」というセキュリティの「最小権限の原則」に従えば,別のポリシーも考えられたのではないだろうか。
例えば,客先を飛び回る社員には,メールの送受信に限定してリモート・アクセスを許可してもいいかもしれない。営業担当者には,ソフトウエア製品カタログや仕入れ値データ・ファイルを保管している共有フォルダ,一部の業務システムへのリモート・アクセスを許可すべきかもしれない。当然ながら,リモート・アクセスの必要がない役職者たちには,許可すべきでないとも考えられる
