情報漏洩対策をムダにしないための7カ条,今回のテーマは『ユーザーの利便性を損なわない仕組みを作る』です。情報漏洩対策のためにセキュリティ強度を高めようとすると,何かと手間や面倒が増えて業務効率に支障が出るようになる,つまりセキュリティとユーザビリティがある程度トレードオフの関係にあることは,読者の方々は身をもって感じているのではないでしょうか。
パスワード・ポリシーは厳しくすればいいってもんじゃない
分かりやすい例の一つがパスワードです。一昔前は,ほとんどパスワードとしての意味を成さないものが多く使われていました。自分や家族の西暦なしの生年月日4桁,自分の名前のアルファベット表記,ユーザーIDと同じ文字列といった具合です。ブロードバンド環境は今ほど整っていませんでしたし,ビジネスや家庭ではオープンなネットワークを通じたコミュニケーションへの依存度も現在ほど高くありませんでした。さらに重要な情報が漏洩するケース,あるいは事件として報道されるケースが少なかったことから,ユーザーのセキュリティ意識は希薄で,こうした覚え易いパスワードが使われていました。
ところが現在は事情が違います。様々な環境が変化し,パスワードの脆弱性が問題視されるようになったため,企業やサービス提供者がユーザーに課すパスワード・ポリシーが厳格化してきました。大文字小文字と数字,記号をすべて組み合わせ,3種類以上のシーケンシャルな文字列(abc や 123)は不可,毎月パスワードを変える,しかも過去5回以内に使ったものは再利用不可能という具合です。
ただし,こうなるとパスワードを覚えづらくなり,忘れてしまうとシステムを利用するまでに1~2時間悩まされるケースが生じることがあります。業務に支障があるという理由で,結局パスワード・ポリシーを緩めてしまうといった本末転倒な結果にもつながりかねません。
ではセキュリティの強度を維持しつつ,しっかりユーザーに守ってもらえるパスワード・ポリシーを運用するにはどうしたらよいでしょうか。
重要なのは,厳格なパスワード・ポリシーを規定すると同時に,そのポリシーの範囲でどのようにしたらうまく忘れにくいパスワードを設定できるかを,きちんとユーザーにアドバイスしてあげることです。
世の中には便利なワンタイム・パスワード製品やシングル・サインオン製品などがあり,技術的な工夫によりパスワードを記憶する労力を減らしたり,管理工数を減らしたりすることができます。ただ,そうしたシステムを利用するには当然多額のコストがかかります。投資対効果を考えるならば,システム投資はコア・ビジネスにかかわる重要インフラの範囲にとどめ,他のシステム環境については極力コストをかけずに済ませたいものです。
実は,これはそう難しいことではありません。その方法の一つが,パスワード設定法をアドバイスすることです。ここで,一つセキュアなパスワード設定法を紹介しましょう。
1. まず,自分が好きな語句やフレーズを英語で書いてみます(翻訳しなくても,単にアルファベット書きするだけで可)
Yume Ha Mirumono Zyanai, Zitsugen Suru Mono Da
2.次に,単語ごとに頭文字を抜き出し,つなげます。
YHMZZSMD
3.最後に,つなげた文字のうち,形が似ている記号や数字があるものを,いくつか変換します(例. Z ⇒ 2, S ⇒ 5 or $, など)
YHM22$MD
このように設定したパスワードは,一見無意味な文字列であり,推測も困難ですが,設定した本人はフレーズとして覚えることができるため,意外に忘れません。
これは一例ですが,こうしたちょっとした工夫で,お金をかけずにセキュリティを強化できるわけです。特にセキュリティ管理者や教育担当者の方は,こうした工夫を積極的に社内で啓蒙してみてはいかがでしょうか。
入退室管理の強化にはコミュニケーションが大切
入退室セキュリティも利便性確保が課題になることがあります。入退室を厳格に管理しようとすると,一人ひとり必ず認証する仕組みになります。先頭の一人が開錠した後に続いて複数人がカードキーをかざしたりパスコードを押したりすることなく連なって入る,いわゆる“ピギー・バック”(伴連れ)を防ぐわけです。
実際のところ,データ・センターやサーバー・ルームなどを除くと,ここまで厳格に管理しているケースはまれですが,入退室セキュリティが適切に順守されていれば,一部の情報漏洩は防止できますから,そこをまず徹底すべきという考え方は理にかなっています。
ただ,お昼時など多くの人が出入りする際に,一人ひとりカードキーをリーダーにかざさないと通れないようにすると,移動効率が大幅に低下します。うっかりカードキーを机に置き忘れたまま外に出てしまったときも,カードキー再発行などの手続きが必要になるのでは不便です。
では,現状の一般的な入退室システムを利用して,セキュリティ強度を極力落とさずに利便性を維持するにはどうすればよいでしょうか。
この場合,例えば積極的に声を掛け合うオフィス環境を作ることが解決策の一つになります。見ず知らずの人物が一人でオフィスに入室すれば,すぐにそれと分かるからです。こうした環境づくりには,まずコミュニケーションを重視し,初めて見かける人の顔と名前は早く覚えて一致させるよう従業員に奨励することが必要です。入退室時について言えば,もし自分と一緒に見知らぬ人が入室してきたら,首からさげているIDを確認するか,隣席の人に知っている人か確認するぐらいは徹底すべきでしょう。
なんでも上司が管理していればいいってもんじゃない
もう一つ例を挙げましょう。上司による承認プロセスについてです。「50万円以上の見積もりには上司の承認印が必要。でも上司は外出や会議などで留守や離席中のことが多く,急ぎの場合は部下が勝手に引き出しを開けて印鑑を押している」――。よくあるシーンだと思いますが, セキュリティ管理でも同様のシーンがあり得ます。例えば重要書類を保管しているキャビネットの鍵を上司が厳格に管理している場合です。
セキュリティ・ポリシーとしては特に問題はありません。しかし頻繁に重要書類を参照する営業事務担当者など一般従業員からすると、作業の都度上司に承諾を得て鍵を借りるのはあまりにも手間です。
結果として,最もよく鍵を使う担当者が事実上鍵を保持してしまったり、勝手に引き出しを開けて持ち出すようになったりと,ルールが形骸化し、かえって管理がずさんになります。
利便性以外の問題点もあります。いくら管理職でも、特定の一人の人物だけが特定の物事に対して全権を握っている状況というのは、権限分掌の考え方に反します。上司自身が誰にも気付かれることなく重要書類を持ち出せてしまうわけです。
では利便性を落とすことなく、重要書類のキャビネットの鍵を管理するにはどうすればよいでしょうか。ここにも発想の転換が必要です。例えば鍵をしまっておくのではなく,就業時間中は誰もが見えるところに設置し、鍵を持ち出すときには必ず他の誰かがそれを見ている仕組みを作ります。こうすれば抑止効果がありますし,作業者の作業効率が下がることもありません。各個人には,持ち出し時・返却時に日時と名前を記録させ,その記録を上司が定期的にチェックするようにすれば良いでしょう。権限を委譲し,みんなで責任をもって管理する文化を作ることで,コストをかけずにセキュリティを強化できるのです。
セキュリティと言うと,どうしてもルールを厳しくすることや,IT面で制御することを考えがちですが,少し視点や発想を変えるだけでもセキュリティは高められます。職場のリーダーやマネージャーの方々は,ぜひ,こうした取り組みを考えてほしいところです。
ベライゾン ビジネス
グローバルサービス本部 プロフェッショナルサービス
シニアコンサルタント
