相次ぐ情報漏えい事件の発覚などから「セキュリティ・ポリシー」の必要性が認識され始めた。既にポリシーを作成し,運用を始めた企業は多い。しかし,計画は立てたものの作成できなかったり,運用に失敗したりしている企業もまた,数多い。ユーザー事例などから,失敗と成功の分かれ目を探った。
「分厚い立派なセキュリティ・ポリシーはできあがったが,今では,役員室の“飾り”。来客には自慢しているらしいが・・・」,「いつまでたっても完成せず,最後はコンサルタントに泣きついて,すべてを任せた」,「全社員にポリシーの冊子を配布したものの,読まれているのか,守られているのかは,だれも分からない」――。
相次ぐ情報漏えい事件や不正侵入事件の発覚などで,日本でもセキュリティ・ポリシー*の必要性が認識されてきた。しかし,先行ユーザーやベンダーに取材をしてみると,いざポリシーの作成や運用を始めたものの失敗してしまったというケースは多い(表1)。「ベンダーはサービスや製品を売るために言ってるんだろう」と思うかもしれないが,実は,ユーザーが自社でできることをしていないがために失敗したケースがほとんどだ。では,どうすれば失敗し,何をすれば成功するのか。事例などを基に探ってみた。
|
||||||||||||||||||||
| 表1●セキュリティ・ポリシー作成と運用の失敗例 |
サイクルの至る所に落とし穴がある
 |
| 図1●セキュリティ・ポリシー,ここで失敗する 図中「失敗のポイント」の番号は,表1の「失敗例」に対応。ポリシーの作成と運用に失敗しないためには,これらのポイントに注意する必要がある |
話を進める前に,ポリシーの目的と作業を簡単にまとめておこう。セキュリティ・ポリシーをひと言で言えば,企業の情報資産を守るために全社員が従うべき“ルール”である。
セキュリティというと,まずは外部からの不正アクセスが頭に浮かぶ。しかし,「外部からの攻撃は,お金さえかければ,ある程度防げる。むしろ社員の不正行為の方が脅威だ。顧客の全データをフロッピに入れて持ち出されたりすれば,会社の屋台骨が揺らいでしまう」(日本オンライン証券 取締役 システム管理部長の齋藤正勝氏)。それが故意でなくても,過失によって企業に大きな損害を与えることもある。そこで“ルール”を定め,それに従うことでリスクを低減するのが,セキュリティ・ポリシーの目的である。
まずは守るべき情報資産を明らかにし,ルール決定後は組織に浸透させ,場合によっては罰則を与える。社内の状況や社会情勢によってルールを適宜見直すことも重要だ。つまりポリシーの作成・運用は,サイクルなのである。そして,そのサイクルの至る所に失敗のポイントが存在する(図1[拡大表示])。
時間をかければ良いものができる?
作成に着手したものの,結局,完成しなかった,もしくは完成時には現状に合わなくなっていた,というケースは多い。原因は,「リスク分析*を徹底的にやろうとして,いきなり挫折する企業が後を絶たない」(ラック 取締役 不正アクセス対策事業本部 本部長の三輪信雄氏)ことと,割ける人員やコストを考えずに,すべてを網羅したセキュリティ・ポリシーを一度に作ろうとしてしまうことにある。
ポリシー作成ではまず,リスク分析を行う。企業内の「守るべき情報資産」を洗い出す作業だ(図1参照)。しかし,これを細かくやろうとすると,きりがない。今回取材したほとんどのベンダーや企業ユーザーは,「リスク分析に時間をかけ過ぎない」ことがポイントであると指摘する。
対象を絞ることも重要だ。NECは,2000年9月,電子情報に対象を絞ってポリシーをまとめた。同社では,電子情報に限らず,すべての情報について,部門ごとの規定集などでセキュリティを維持していた。「それらすべてをまとめようとすると,広範囲すぎて,時間がかかりすぎる恐れがあった。そのため,重要度が高いものから着手した」(インフォメーションシステム部 マネージャーの神田昌彦氏)
具体的な例示でトップを巻き込む
グローバル セキュリティ エキスパート 代表取締役専務の山崎文明氏が見た失敗事例には,「ある部署が単独で作ったものの,全社的なポリシーとしては認められず,キャビネットに“封印”されたままになっていた」ケースがあった。セキュリティ・ポリシーは全社的なものにしなければ有効になりにくい。そして,全社的なものにするには,いかにトップ(経営者)を巻き込むかがポイントになる。
トップの巻き込みに成功した,あるメーカーのセキュリティ担当者は,「パスワードがきちんと設定されていない例を示して説得した。調べてみると,社員6500人中,IDと同じパスワードを設定しているユーザーが1500人もいた。実際に,盗んだパスワードを使った“なりすましメール”が社内に流れた事件もあった。これらの話をして,現状のままでは危険であることを訴えた」。具体的な危険の提示が効果的だったというわけだ。
ファイアウオールなどのログを見せることも効果がある。「実際に,ポート・スキャン*などを受けていることを示すと,脅威を分かってもらいやすい」(富士通 ソフト・サービス事業推進本部 ソリューション技術統括部 セキュアシステム推進室 プロジェクト課長の塩崎哲夫氏)
自分たちで“汗を流す”
ポリシー作成の支援サービスを提供するベンダーは多く,日本語の参考資料やサンプル・ポリシー*1も存在する。確かにこれらは,ポリシーを作成する上で大きな助けとなる。しかし,ベンダーに“丸投げ”したり,サンプルを写したりしただけのポリシーは役に立たない。その企業独自の業務内容や慣習が盛り込まれないからだ。
成功しているユーザーは,必ず自分たちで“汗を流して”作成している。「サンプル・ポリシーのままでは使えなかったので,大幅に手を加えた」(日本オンライン証券の齋藤氏)。「ベンダーにコンサルティングを頼んだが,あくまでも支援してもらっただけ。運用するのは自分たちなのだから,自分たちで作らなければいけないと考えた」(松下通信工業 情報通信システムセンター グループウェア推進グループ 主担当の河原順氏)
WBTなど,浸透する仕組みを整備
 |
| 写真1●専用ツールでユーザー教育 ポリシーの文書管理と運用を支援する,カナダIntellitacticsの「Living Policy」。特徴は「コンプライアンス機能」。ユーザーは,WWWブラウザでポリシーを閲覧し,理解したら承認する(写真左)。管理者画面からは,ユーザーの閲覧状況が確認できる(写真右) |
NECは来年度から,セキュリティ・ポリシーに関するWBT(Web Based Training)*の導入を予定している。「社員はグループ全体で15万人いるため,冊子で配っても,読んでいるかどうか分からない。WBTならば,各ユーザーの閲覧履歴を管理できる」(NECの神田氏)からだ。さらにWebベースならば,ポリシーに変更や追加が生じても,すぐに修正できる。
どんなに優れたポリシーも,ユーザーが守らなければ意味はない。しかし,単に文書を配って「守れ」と言うだけでは,だれも守らない。「セキュリティ・ポリシーは,“無視されるもの”と考えるべき。いかに理解させ,守らせていくのかを,ポリシー作成の段階から計画しておくことが重要だ」(ラックの三輪氏)。WWWを使った教育は,ユーザー教育に有効な手段の一つである。
カナダIntellitacticsの「Living Policy」のように,ポリシー運用を支援する,Webベースの専用ツールも登場している(写真1[拡大表示])。しかし,ツールはあくまでも運用を“支援”するだけ。読んだ記録があっても,本当に理解しているかどうかは分からない。同ツールを販売するラックは社内でも利用しているが,ツール利用と並行して「チェック・テスト」を実施している。「簡単に行えるテストを作り,社員を少しずつ抽出して受けさせている。だれでも数カ月に1回は受ける形だ。実際にやってみると,効果は非常に大きかった」(ラック 不正アクセス対策事業本部 情報部兼セキュリティ対策推進室 室長の村上晃氏)
監視を知らせて“抑止力”に
 |
| 写真2●監視していることを知らせて“抑止力”に 日本オンライン証券では,メールの取り扱い履歴を記録し,社内で公開している(左)。電通国際情報サービスでは,Webのアクセス・ログを公開している(右) |
監視をうまく利用しているユーザーも多い。ポリシーに実行力を持たせるために罰則規定を盛り込むことは常とう手段だが,監視は,罰するためでなく守らせるために行っている。
顧客データへのアクセス履歴をすべて記録している日本オンライン証券では,このようなことがあった。ある社員が休日出勤し,顧客データを基に月曜日に必要となる資料を作成していた。たまたま自宅からリモート・アクセスしていた,システム管理部長の齋藤氏は,会社へ確認の電話をかけた。驚いたのはその社員。そのことがほかの社員へも伝わり,重要データへのアクセスを監視していることが,改めて周知されたという。さらに同社では,顧客からのメールをだれが読んだか,だれが返事を書いたのかなどを,社内で公開している(写真2左[拡大表示])。
電通国際情報サービスでは,社員のWebアクセスをすべて記録し,そのログを社内で公開している(写真2右)。「これだけでも十分抑止効果はあるが,不適切なアクセスが多い場合には,調査することもある」(情報システム部 コミュニケーショングループ 統括マネージャーの中村政則氏)。調査の結果,ポリシー違反をしているユーザーが見つかれば,実際に処罰するという。「実際に罰を受けることが分かれば,これも,ほかのユーザーに対しての抑止力になる」(e-テクノロジー統括部 先端技術研究グループ 主幹研究員の熊谷誠治氏)。
同様に,名目だけではない処罰の必要性を訴える企業ユーザーやセキュリティ・ベンダーは多かった。
松下通信工業では以前,パスワードの利用規定に従わないユーザーに対して,3回警告した後,アカウントを停止するという措置をとった。該当者は50人にのぼったという。
コンピュータの私的利用を禁じている某メーカーでは,社員が会社のアカウントを使って掲示板サイトへ書き込みをしていたという情報がセキュリティ担当者から人事へと報告され,その社員の人事考課に影響を与えた。「処罰することで,業務規定と同じように,セキュリティ・ポリシーも守らなければいけないものだと理解させる」(セキュリティ担当者)。
一方で,「ポリシー違反者を見つけたら処罰するのではなく,なぜ守れないかを聞くべき」(日本ヒューレット・パッカード セキュリティー&ITストラテジー・コンサルティング・グループ グループ長の佐藤慶浩氏)という意見もある。同社では,定期的に何名かの社員を抽出して,抜き打ちで検査している。「検査のときは,現場の意見やアイデアを吸い上げる絶好の機会だ」。理由を聞いて,ポリシーが現場に即していないために守られていないのなら,ポリシーの変更を検討するという。
