マイクロソフト主催の技術者向けイベント「TechEd 2006 Yokohama」では,様々なセッションが開催された。多くの聴衆が駆けつけたのが,8月29日のパネル・ディスカッション,「情報漏えい徹底防御 vs.使いやすさの追求」である。
クライアント・パソコンのセキュリティを確保すること。かつ,パソコン利用の自由度や使いやすさを確保すること。この相反する課題をどう解決し,快適で安全なクライアント環境を確保するかについて,技術者による意見交換がなされた。“本音トーク”から出た現場の声には,参考になる点が多い。パネル・ディスカッションの司会は,グローバル ナレッジ ネットワークでエンジニア向け教育コースの企画・開発を務める横山 哲也 技術担当取締役である(横山氏によるITpro Watcherのページはこちら)。
機密情報を扱うマシンや,商品情報や営業情報などを扱うマシンは,インターネットはもちろん社内LANからも隔離する。社外から社内LANへのアクセスを一切禁止する。セキュリティの強度を確保する上で,これが理想型の一つであることに異論はないだろう。
ディスカッション参加者もそれに同意を示しつつ,理想のルールと現実の“折り合いの悪さ”を語る。議論に参加したある開発者は,Webの時代ならではの難しさを指摘する。「最近多くなってきた,いわゆるWeb2.0やSOA(サービス指向アーキテクチャ)に基づいたアプリケーション開発プロジェクトの場合,外部のサービスを利用できる環境でないと,開発作業そのものが進められない。『完全に隔離されたネットワークでシステムを開発せよ』と一律に会社のルールをはめられても困ってしまう」。
あるユーザーは,次のように実態を説明する。「当社ではUSBメモリーにデータを移すことでさえ,申請と許可が必要。これでは仕事のスピード感には合わない。ならば個人のパソコンを使って仕事をするか,という形になり,ずるずると会社のセキュリティ・レベルが低下していく」。
顧客や事業に向き合う営業や開発の現場では,往々にしてセキュリティのルールは“邪魔な存在”になりがちだ。ルールを厳しく設けると現実が折り合わず,ルールを破る人が出てくる。「管理者のあずかり知らぬところで穴が空いてしまうよりは,ルールが形骸化するのを防ぐ意味でもルールを現実的な範囲で緩めるべき」という意見が出た。
扱う情報の重要度に応じて,データやマシンの管理方法は変わってくる。悪意のあるケースは別としても,悪意がないのに情報漏えいに加担してしまうような事態を回避するには,「ITを含めた仕組みをもっと積極的に作り込むべき」という意見に収束した。例を挙げると,自分がいま扱っているデータの機密度はどの程度かを表示し警告を促す。データをUSBメモリーに移す際に「このデータは外部には持ち出せない」と警告を出し,未然に防御する,といったものである。
ディスカッションに参加したマイクロソフトの及川卓也氏(Windowsの開発を担当)は次のように言及した。「パソコンを自由に使って生産性を高めたいというユーザーも,セキュリティ面での安全性を求めていることには変わりない。一方,システム管理者も『何が何でもすべてを厳しく管理すべき』,と考えているわけではない。安全性が高く,生産性も確保できるマッチング・ポイントを現実的なコストや手法で実現するためには,OSやアプリケーションの形態を変えていく必要がある」。
一部の携帯電話はリモート制御で操作にロックをかける機能を搭載している。「携帯電話と同様に,モバイル・パソコンにも外部からの通信によってデータを消去できる,といった機能を搭載することが考えられるだろう。クライアント・パソコンの利用環境は時代に応じて変化していくので,それに合わせた管理機能が必要になる」と及川氏はコメントした。
