「企業のセキュリティ対策における問題点は、情報自体の管理が甘いことだ」。こう語るのは、米コンピュータ・アソシエイツ(CA)でeTrustセキュリティ・ソリューション担当のストラテジストを務めるイアン・ハマロフ氏(写真)。eTrustは同社のセキュリティ製品のブランド名である。
ハマロフ氏は、「最新のセキュリティ対策ツールを導入している企業は多い。しかし残念ながら、守るべき情報の管理や運用をきちんとしていないため、ツールの機能が生かせてない」と警告する。一つの例として、「悪気はないのだが、多くの社員が日常的に、自分の業務には必要のない機能を使ったり、閲覧すべきでないデータにアクセスしたりしている。これはアクセス・ログを取るとはっきりわかる」ことを挙げる。アクセス管理ツールを導入しても、「システム管理者は“普通の社員は不必要なデータにはアクセスしない”という前提で、セキュリティ対策を実施していることが多い」(同)ため、このようなことが起こるという。「システム管理者は、面倒くさがらずに不必要な権限は削除すべきである」と注意する。
ただしハマロフ氏は、「アクセスを禁止するだけでは、根本的な問題は解決しない」と続ける。「多くのユーザーは悪いことだと知らずにアクセスしている。単にアクセスを禁止するだけでなく、許可のないユーザーがアクセスをした場合には警告メッセージなどを出すことで、自分の行為がやってはいけないことだ、ということをちゃんと教育していくことが大切だ」とする。
(鈴木 孝知=日経コンピュータ)
