「全社的なセキュリティ・レベルを維持するために,ユーザー教育に力を入れている」――。ケーブル・アンド・ワイヤレスIDCのウェブサービス部門セキュリティマネジメント部グループリーダーの服部文彦氏は4月25日,プレス向け説明会において,同社のセキュリティへの取り組みを説明した。「セキュリティに関する規則(セキュリティ・ポリシー)を全ユーザーに周知徹底させることが重要だ」(同氏)
「どのプロバイダも『わが社はセキュリティに力を入れています』とは言うが,どのように取り組んでいるのかについては“ブラック・ボックス”であることがほとんど。わが社ではきちんと説明したい」(コーポレート・コミュニケーションズ部 広報 上瀧和子氏)というのが,この説明会の趣旨である。
同社では,以前からセキュリティに力を入れていたが,個々の管理者のスキルに依存する運用体制だった。管理者によってスキルが異なるため,社内サーバーなどのセキュリティ・レベルはまちまちだった。セキュリティ・レベルが低いサーバーも存在した。2年ほど前のあるとき,そのようなサーバーに不正侵入されたような痕跡が見つかった。
詳細に調査した結果,実際に被害は受けていないことが確認されたが,それを契機に,社内の運用体制を見直すことにした。社内のセキュリティ・レベルを底上げした上で,均一化することに努めたのである。「個々のサーバーのセキュリティ・レベルをいくら高めても,一台でもセキュリティ・レベルが低いサーバーがあると,ネットワーク全体が被害を受ける恐れがある」(服部氏)
具体的には,サーバーで使用しているソフトウエアのセキュリティ情報をデータベース化して,社内の全管理者が共有できるようにした。さらに,セキュリティ・ホールなどへの対応状況をトラッキングできるようにした。これらを実施することで,個々の管理者のスキルに依存することはなくなった。
しかし,これだけでは不十分だった。「サーバーなどのセキュリティ・レベルを高めても,個々のユーザー(社員)にセキュリティ違反を起こさせない,起こす気にさせないようにしなければ,全社的なセキュリティ・レベルは向上しない」(服部氏)
そこで,セキュリティ違反をすると,懲罰の対象になることを職務規定に盛り込んだり,サーバーなどにアクセスしたユーザーを特定できるシステム構成に変更したりした。ログもきちんと管理し,アカウント管理も厳密に実施するようにした。
しかし,これでもまだ不十分だった。何がセキュリティ違反に該当するのか,セキュリティを維持するために何をすべきかなどを,きちんとユーザーに周知させなければ意味がない。「全ユーザーにセキュリティに関する規則を周知させて守らせること,すなわちユーザー教育が大変だった」(服部氏)。まず苦労したのが,分かりやすい規則を作ることだった。同社にはセキュリティ専門のスタッフがいるので,いくらでも細かい規則を作ることはできる。しかし,「分厚いマニュアルを作っても読んでもらえない。できるだけ分かりやすくする必要があった」(服部氏)
次に問題になったのは,いかに周知させるかだった。イントラネットの電子掲示板などでセキュリティ・ポリシーを公開している企業は多い。同社もイントラネットの電子掲示板を運用している。しかし,すべてのユーザーが電子掲示板を毎日見ているわけではない。そこで,廊下などに設置した,“本物の”掲示板に掲示することにしたのである。具体的には,「スクリーン・セーバーにはパスワードを設定し,『待ち時間』は5分にする」,「メールを開いたまま席を離れない」――などの規則を張り出した。「“原始的な”方法ではあるが,すべてのユーザーの目にとまる,効果的な方法だ」(服部氏)
さらに,社内で作成したコンテンツを使ったeラーニングや勉強会を実施している。同社は2003年3月に,情報セキュリティ管理認証「BS7799-2:2002(2002年版BS7799-2)」と「ISMS適合性評価制度」を取得した。それらを取得した際,同社のセキュリティ教育などは審査員に高い評価を受けたという。
(勝村 幸博=IT Pro)
