毎月のように報じられる情報漏えいに関する事件や事故。これらは,“その情報に狙いを定めた攻撃者”に盗まれたというより,システム運用の不備や内部ユーザーの認識不足によって「知らないうちに流出してしまった」というケースがほとんどだと考えられる。情報資産を守るためには,セキュリティ機器やシステムを導入しただけでは防げない。セキュリティ・ポリシーを作成し,それに基づいたセキュリティ管理を実施して初めて防げる。
ただし,セキュリティ・ポリシーを作成する際には注意が必要だ。ポリシーが厳しすぎると,ユーザーは守れずに,ポリシーは形骸化する。セキュリティと利便性のバランスがとれたポリシーを作成した上で,ポリシーを守ることの必要性をユーザーに認識させることが重要である。経営者は厳しいポリシーを要求する
トップダウンでセキュリティ・ポリシーが作成される場合,経営者は厳しいセキュリティ・ポリシーを要求することが少なくない。特に,ポリシー作成の動機が「情報漏えいに関する事故が自社で起きたため」などの場合には,ユーザーの利便性は考慮されない。セキュリティの強化だけが求められる。ほとんどの場合,セキュリティと利便性はトレードオフの関係にあるので,セキュリティだけを考えたポリシーでは,ユーザーは守れない。その結果,ポリシーは形骸化する。
ユーザーの多くは,セキュリティ・ポリシーを負担に感じる。それほど厳しくないポリシーでも,ユーザーにとっては「今までできたことができなくなるのではないか」「面倒な手続きが増える」「守るのが面倒くさい」――など,心理的な抵抗がある。積極的に守ろうとするユーザーは少ない。
厳しいポリシーとなると,「業務を理解していない人間が勝手に作ったものを守れない」「自分は重要な情報など扱わないのに,どうして守らなければいけないんだ」――といった不満が増大する。筆者はそのようなケースを実際に目にしたことがある。
いたずらに厳しいポリシーは,ユーザーに不満を抱かせるだけではなく,業務効率を下げる恐れもある。その結果,顧客へのサービス・レベルが下がり,企業の評判が落ちる恐れすらある。「事件や事故となれば,報道の対象となり信用が失墜する。損害賠償の可能性もある。そんなことがあれば,経営者として失格の烙印を押されてしまう」――そのような事態を防ぐつもりで作った厳しいポリシーが,まったくの逆効果となるのだ。結局,「守らないほうがよいのではないのか」という雰囲気が暗黙のうちに広まり,ポリシーは形骸化する。
厳しいポリシーはリスクを生み出す場合すらある。例えば,「パスワードには推測できない文字列を使用する。そして,3カ月ごとに変更しなければならない」ということが義務付けられた場合,ユーザーの多くはパスワードを覚えていられないだろう。その結果,パスワードを書いたメモや付せんがオフィス中に散乱する事態を招く可能性がある。
できるだけ利便性を下げない工夫を
ポリシーを作る際には,社内のリスクを低減することだけではなく,利便性をある程度確保することを忘れてはいけない。代表的な例としては,社外から社内ネットワークへのリモート・アクセスが挙げられる。単に禁止するだけでは,システム管理者が把握しないRAS(Remote Access Server)を設置される恐れがある。それを防ぐために,独自にRASを設置することを禁止する代わりに,安全な接続ポイント(RASやVPNサーバー)を用意する。
ネットワークやシステムの利用実態に合わせたポリシーを作成することも重要だ。利用が進んでいるにもかかわらず,ポリシーに盛り込まれることが少ないものの例として,USBメモリーが挙げられる。USBメモリーは安価かつ大容量なので,業務の改善に役立つ。しかしながら,使い方次第では,情報漏えいなどのリスクをもたらす。
有用にもかかわらず,ポリシーで規定されていないUSBメモリーなどは,ユーザーが個人的に購入して使われて,リスクをもたらす可能性がある。規定されていないために,使いたくても使えないユーザーもいる。このようなものについては,きちんとポリシーに盛り込むべきである。具体的には,利用する際のルールを明確にして,他の備品と同様に企業で購入する。その際の購入手続きなどはできるだけ簡便にする。使う際には,ユーザーにUSBメモリーのリスクを説明した上で,署名等を求める。
セキュリティと利便性のバランスがとれたポリシー――すなわち,ユーザーに守られるようなポリシー――を作成するには,現場の具体的な業務内容を知らないと難しい。そのため,ポリシーを作成するメンバーには,経営者やシステム部門だけではなく,複数のユーザー部門の人間を加えることが不可欠だろう。
もちろん,いくらバランスがとれたポリシーを作っても,ユーザーが守ってくれるとは限らない。ユーザーの理解を得なければ意味はない。継続的な教育および啓蒙が不可欠だ。
ユーザーに過剰な負担をかけるポリシーは必ずといっていいほど形骸化する。セキュリティ意識が高いユーザーでも,通常業務を妨げるようなポリシーには従えない。「せっかくポリシーを作ったのに,何で守らないんだ!」と嘆く経営者や管理者は,ポリシーが厳しすぎないかどうか,見直すことをお勧めする。このとき,ポリシーを作成したメンバーだけで議論しても答えは出ない。ユーザーにインタビューするなどして,現場の意見を聞く必要がある。
見直す必要があるのは,ポリシーを守れている企業も同じである。以前の記事にも書いたように,セキュリティ管理は,PDCA(Plan Do Check Action)サイクルを作り上げ,そのサイクルを日々回すことで実現できる。守れている企業でも守れていない企業でも,“Check”は重要だ。PDCAサイクルを回すことで,ポリシーは最適化され,セキュアな環境が作られていくのだ。
東山 栄一 (HIGASHIYAMA Eiichi) 
NECソフト株式会社 コンサルティング事業部
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
