第8回　対策のバランスを考える（最終回）

　情報漏洩対策をムダにしないための7カ条，最終回は『対策のバランスを考える』という提起で締めくくりたいと思います。現場の実情を考慮した「現場参加型のルール」を策定したら、あとは対策の実施ということになります。この段階では、対策のバランスが重要になります。

　対策のバランスとは、つまり「初志貫徹」と「臨機応変」の使い分けです。目的実現のために決して譲れない事柄と柔軟に対応すべき事柄を判別し，場面に応じて適切な方法で対応することです。決して譲れない事柄とは、情報セキュリティ対策の目的や基本方針などの情報セキュリティ対策のおおもとと言える事柄です。これらが実施の段階で揺らいでしまうと、対策そのものが成り立たなくなります。一方、柔軟に対応すべき事柄は、おおもととなる事柄を踏まえて目的を達成するための手段や方法のことです。前者については既に方々で語り尽くされた感がありますので、今回は後者について詳しく述べます。

実施には「なし崩し」が重要

　一定のルールに基づいて規範を統一する情報セキュリティ対策において、重要な考え方が「なし崩し」です。あまり良いイメージではない言葉ですが、実際に対策を進める際には成否を左右する重要な考え方です。情報セキュリティ対策に限らず、新しいルールは多かれ少なかれ現場に変化をもたらします。そして、その変化に対する抵抗を最小限にとどめる手段として、「なし崩し」が極めて有効なのです。現場の方々が「これぐらいならできる」と思える範囲・程度から始め、徐々に範囲を拡大し、程度を高め、当人たちが負荷と認識しないうちに対策が実施されている状況を作り出すのです。

　「なし崩し」が有効な事例の典型例として、情報資産の管理が挙げられます。ISO27002などで規定された「教科書通り」の方法は、「組織が保有する情報資産を重要度別に分類し、その分類基準に沿って管理する。当該の情報資産は、電子データ・紙媒体を問わずラベリングする」となります。

　ところが、これをある日から徹底して実施することは、現場の負荷を考えると決して現実的とは言えません。今までに作成した書類やファイルをすべて棚卸しして選別し、選別結果に基づいてそれらに一つひとつラベルを付け、さらに管理場所や方法も改めるといった一連の作業は、現場にとっては大変な負担です。現場からは「業務遂行の障害」を理由とした抵抗や反対が起こり、結果として頓挫したり、実施できても中途半端になりかねません。

　実際、筆者が以前、関わった組織では、情報資産管理のルールが有名無実化していたことがありました。その状況を解決したのが、「なし崩し」的な実施です。最初は「特に重要なものについてカテゴリ単位での分類と管理」とし、それらが現場に根付いてきた頃合いを見計らって、「カテゴリ単位の分類・管理を全情報資産に拡大」し、続いて「特に重要なものについては○年○月○日以降の作成・更新分からラベリングを実施」、「ラベリングを重要なものにも拡大」というように徐々に実施したのです。こうすることで、現場の抵抗や反対を最小限に抑え、最終的にはルールを浸透させました。

　「なし崩し」実施のもう一つのメリットは、現場の人々が対策実施を『体で覚えられる』ことがあります。対策を「当たり前のこと」にしていく過程で、自然に身につき、結果として「抜け」が発生しにくくなるのです。

例外措置はスムーズな実施への潤滑油

　「なし崩し」と並んで実施に際して重要になってくるのが、例外措置の扱いです。例外は認めるべきではないというのが情報セキュリティ対策の一般的な考え方ですが、現場ではどうしてもルールの適用が難しくなってしまうケースが発生します。

　よく見かける事例では、「ユーザーID/パスワードを共有しない」というルールです。情報提供サービスや、機器制御のための専用端末を使う場合など、ユーザーID/パスワードを共有した方が便利なケースは少なからずあります。このような場合、杓子定規にルールを適用すると登録アカウント数を増やすために余計なコストがかかったり、専用端末にアカウントを設ける作業やパスワード忘れのための対策を講じたために機器の安定稼働に影響を及ぼしたりといった「弊害」が生じる可能性が高くなります。

　そこで必要になってくるのが例外措置です。ルールの目的を踏まえて例外措置をとることで、現場の業務への影響を最小限に抑えつつ実効性のある対策を実施できます。上記の事例では、ルールの目的は「不正ログインの可能性を最小限にする」ことと，「誰がいつ使用しているかを明確にすることでインシデント発生時などの事態究明を容易にすること」です。これらの目的を達成できる条件を設定し、現場がそれを受け入れられば、例外を認めることができます

　例えば「専用端末使用の際には備え付けの使用記録簿に日時と担当者名を記入」し、「定期的に使用ログと使用記録簿を突き合せて使用状況を確認する」ことで目的を達成できそうです。あるいは「専用端末を入退出管理設備のある部屋に移動」し、「使用ログと入退出記録を突き合わせる」ことも有効でしょう。

　このような例外措置については、必要な条件が満たされているかどうかを定期的に確認すると同時に、例外措置を中止できないかどうかを一定期間ごとに検討する必要があります。条件が適切かどうかの確認も必要です。このため情報セキュリティ対策の推進者側に手間や時間がかかりますが、現場の抵抗や反対には遭うことなく、スムーズに対策を実施することが可能です。

「なし崩し」や「例外措置」の例外

　「なし崩し」と「例外措置」について述べましたが、もちろん、これらのやり方が馴染まない局面もあります。実施の期限と内容・程度が法令などで規定される場合です。この場合は、特定の時期から当該の法令に合わせて行動パターンをガラリと変えることが要求されるため、上記のような「徐々に慣らしていく」、「現場の事情を尊重して例外を認める」という方法を適用することはできません。

　典型例が個人情報保護法施行に基づく個人情報の管理です。この場合、「なし崩し」や「例外措置」とは全く逆に、「ある日突然すべてが変わる」形で導入することが必要です。ある日を期限として大きく変えなくてはならないのであれば、一度にすべてを変えてしまうことが、一時的に現場の抵抗は大きくなっても、結果として抵抗の長期化を防ぎ、早期の定着につながることが多く見受けられます。ただ、このやり方は導入前や実施段階における労力が比較的大きくなるうえ、現場の抵抗が大きくなりますから、それに見合うだけの理由説明が前提となります。

　技術に頼り切るのではなく人やプロセスに注目して進めるセキュリティ対策について、事例を交えながら紹介してきました。本連載が読者の皆さんの情報セキュリティ対策に少しでも役に立てたならば幸いです。