あなたが企業や官公庁などの情報システム部門に属しているなら、セキュリティに関するルール作りに日ごろから関わっているはずだ。「パスワードの長さは数字や大文字、小文字を混ぜた8文字以上にする」「3カ月ごとに必ずパスワードを変更する」「私物のパソコンは社内ネットワークに接続しない」といったものである。
近年では、クラウドサービスの普及を背景に、従業員がクラウド上に管理者の許可なくサーバーを構築していたという例も耳にする。端末間でデータを同期するようなクラウド型のストレージサービスが普及し、重要な機密情報が不用意に保存されているケースも見られる。そこで、新たに「クラウドサービスを管理者の許可なく利用しない」「サーバーを管理者の許可なく構築しない」といったルールを設ける企業も出ている。
なぜルール破りが絶えないのか
こうした、管理者の許可のない状態でのクラウドサービスの利用を放置するわけにはいかない。従業員にとって便利だとはいえ、管理者が把握していない状態での利用は適切なセキュリティ対策がなされていない可能性が高く、機密情報が流出する恐れもあるからだ。
そこで管理者の許可のない状態でのクラウドサービス利用を禁止したり制限したりする企業は増えている。また、前述のパスワードや端末持ち込みなどに関してもルールを破られた際の影響が大きいため、従業員によるルール順守の徹底は非常に重要だ。
にも関わらず、これらのルールが守られていないケースが散見される。単なるセキュリティ規則としてだけでなく、違反時には「就業規則への抵触」という形で社内に向けて強く告知しているのにも関わらずである。技術の進化に伴い、「ルールを守らない従業員がビジネスに与える損害が年々大きくなってきている」と実感しているシステム担当者は多いはずだ。クラウド時代の到来で「どうしたらルールを守ってもらえるか」という悩みは深まるばかりだ。
本連載ではこれまでにも「ルールは口で言っても誰も守らない。技術的にルールを強制する必要がある」と繰り返し説明してきた。しかし、現実には「技術的に強制したいが、コスト面でルールの強制を実装できない」といった状況をよく目にする。また、技術的に強制するにはそのような機能を持つソフトウエアを導入する必要がでてくる。しかし、「利用するハードウエアにこのソフトウエアが適合しない」「ソフトウェアが必要とするインフラ環境に適合しない」など、動作要件を満たせていないためにルールを強制する技術を導入できないケースもある。
