「社内システムにアクセスするのに,何回パスワードを入力させるんだ!」「ノートPCを持ち出すのに,いちいち上司とシステム部門の許可をもらうのは時間がかかる!」――。最近,こうしたセキュリティ対策に対する不満の声をユーザーから聞くようになった。情報漏えいやウイルス感染を防ぐために,セキュリティ対策を年々厳しくした結果,不満だけでなくユーザーの業務効率まで落としているケースも少なくない。
一方,システム担当者はセキュリティ対策によって,作業負荷の増大に直面している。たとえばセキュリティ・パッチの検証作業。アプリケーションが正常動作するかの確認が必要になる。アプリケーションが多ければ手間が多く,OSの種類やPCの種類が複数あれば,さらに作業負荷は増す。さらには権限設定作業。不要な権限を与えると不正アクセスの温床となるため,適切かつ丁寧に設定する必要がある。一般的に人事異動など大幅な変更がある3月末や9月末の場合,その作業負荷は想像を絶する。ほかにも不正なアクセスがなかったかを調べるために,アクセス・ログの取得および,定期的なアーカイブ作業,そして中身のチェック作業がある。ログを取る対象が多ければ,こちらも手間がかかる。
セキュリティと業務効率の両立へ
セキュリティ強化によって,ユーザーは不満を抱え,さらに業務効率は低下。システム担当者は,忙しい通常業務がさらに忙しくなるという厳しい状況。だからといって,セキュリティ対策を抑えられるのか。その答えはノーだ。情報漏えいは,企業の存続にかかわる可能性があるし,社内PCにウイルスが蔓延すると,業務がストップしてしまう場合もあるなど,セキュリティ被害のリスクが大きいからだ。
かといってこのまま手を打たず,セキュリティを強化し続けると,限界を超えたユーザーやシステム担当者は抜け道を探してしまう。たとえば複数のパスワードを書いてPCに張ったり,見破られやすいパスワードを設定したりする。システム担当者もログのチェックやパッチ検証作業を省略してしまうことも考えられる。これではセキュリティ対策の意味がなくなってしまう。
セキュリティ対策をしないのは許されないが,過剰な対策は弊害も生まれる。この状況に気づいた企業では,セキュリティ強化と業務効率のバランスを考え,独自の工夫に取り組み始めている。たとえばKDDIでは,ユーザーがメールで添付ファイルを送る際に,何もしなくても自動的に暗号化される仕組みを構築した。ユーザーが暗号化する手間を減らす,暗号化忘れを防ぐという効果を狙った。
また,ある製造業では,PCのパッチ検証作業をしながらも,うまく手間を減らしている。パッチが公開されると,すぐに社内に展開せず,まずPC担当のシステム部員のPCだけに適用し,1週間動かしてみる。特別な検証はしない。ここでPC自体が不安定になったり,オフィス・ソフトの基本機能が動かくなったりといった致命的な問題が発見できる。次の1週間は,業務アプリケーションを担当するシステム部員のPCに適用し,同じように通常通り使う。業務アプリケーション担当者なので,通常業務の中でアプリケーションを動かす機会が多いため,こちらも致命的な問題が発見できる。(当然2週間の間は脆弱性が存在するリスクはある。この企業では,その間に発生したリスクは許容する方針で,セキュリティ被害に遭った場合の事後対策を用意してあるそうである)
「ログ・チェックの手間を減らす」「権限設定の手間を減らす」など,セキュリティ強化と業務効率のバランスの具体例はまだまだある。その記事を日経SYSTEMS8月号特集「バランス感覚のセキュリティ対策」として執筆した。そのまま自社に適用できるかは考える必要があるが,うまくバランスを取れないかを考えるきっかけにしていただければ幸いである。
