高度化するサイバー攻撃に対し、高度なテクノロジーを利用した対策がますます重要になりつつある。ただ、こういう時こそ足元を見て、セキュリティ対策の確実性を高めていきたい。
今回はどの会社にもあるセキュリティ対策のルール「セキュリティポリシー」がテーマだ。「ルールはあるものの守ってくれない」という悩みはいまだによく耳にする。ケーススタディーを通して対策を見ていこう。
技術的に順守を強制する
最初のケーススタディーは、USBメモリーの利用を禁止している企業で起こりがちなシーンだ。筆者はUSBメモリーの使用に対して否定的ではないが、説明のための事例として紹介する。
(ある事業部の扉の前で立ち話をしている2人)
従業員A:依頼のありましたデータはこのUSBメモリーに収めました。このままお渡ししますので、データはUSBメモリーから直接コピーしてください。
従業員B:了解しました。いつもありがとうございます。このやり取りが一番手軽で便利ですね。次回もこの形でお願いします。では失礼します。
(たまたま通りかかった経営層がその会話を耳にして)
経営層:おや?ウチはUSBメモリーの利用を禁止しているはずだが…
(役員室に戻った経営層のところにセキュリティ担当者が呼ばれてやって来る)
経営層:来てもらったのは他でもない。先ほど廊下で見かけたが、データをUSBメモリーで手渡ししていた。
セキュリティ担当者:はい、USBメモリーの利用はルールで明確に禁止しています。徹底されていないようなので、対策を考えます(しかし、どうして破られてしまうのか…)。
このように、ルールで禁止しているのに守ってもらえないという状況は、現実にもよくあることだろう。とはいえ担当者は、手をこまぬいているわけにはいかない。どうすればいいのだろうか。
まずは「ルールの切り分け」を実施したい。具体的にはルールを「技術的に順守を強制するルール」「技術的に順守を強制しない/できないルール」に分ける(図1)。極端な話に思えるかもしれないが、「技術的に強制しない/できないルール」は破られる前提で考える必要がある。むしろ、すべての従業員がすべてのルールを覚えているという前提に立つほうが、無理がある。だから、意図的にルールを破るつもりがなくても、偶発的にルール違反となったケースも出てくる。
一般には、できるだけ「技術的に順守を強制する」ようにしたほうが順守状況は改善される。ルールを破ろうとしてもシステム的に不可能だからだ。USBメモリーのように利便性が極めて高いツールの場合、「USBメモリーの利用は禁止」とルールで定めても、従業員にとっては(意識的かそうでないかにかかわらず)ルールを破るメリットのほうが大きい。このため、あっさりとルールを破られてしまうケースが後を絶たない。
USBメモリーの使用を禁止するなら、USBメモリーをパソコンに挿しても認識しないようにシステムを構成するなど、技術的に禁止を強制したい。このように、ルールを破られる可能性が高いと判断される場合は、可能な限り技術的に強制する方法を考えたほうがよいだろう。
パスワードについても同様のことが言える。例えば「大文字小文字数字記号を交ぜて8文字以上にする」というルールを定めたとしよう。担当者や上司がいくら口をすっぱくして言ったところで、1文字のパスワードが設定できてしまう環境なら、それで済ましてしまう従業員は出てくるだろう。
ここまで見てきたように、USBメモリーの利用禁止や複雑なパスワードの設定といった形骸化しやすい運用ルールは可能な限り技術的にルールを強制しておきたい。逆に言えば、技術的にルールを強制することさえできれば、ルール破りの問題はなくなるだろう。
