最近、テレビを見ていてもクラウドという言葉を普通に耳にするようになりました。もはやIT関係者だけでなく、一般の方も、その存在を知るようになりました。これだけクラウドが日常的に連呼されると、ものすごくいいモノのように思えてきてしまい、クラウドを使ってないと時代遅れだという気分にさせられてしまいがちです。
スマートフォンの急速な普及も進んでいます。このスマートフォンとクラウドはとても相性がいいのです。メールやスケジュールのチェックや、文書の閲覧や編集がスイスイできてしまいます。スマートフォンを使った方の多くは「これを仕事に使えたら」と思うでしょう。ところが、企業ではノートパソコンの持ち出しは禁止、自宅での作業は禁止、USBメモリーは持ち出し禁止---などの厳しい、そして、不便なルールがあります。
基本的に禁止事項で構成されていることがほとんであるセキュリティポリシーは、裏返せば「禁止されていなければやっていい」という解釈が可能になります。禁止事項に「ファイルを持ち出さない」「ファイルを外部に送信しない」とあれば、印刷物や画面を持ち込み禁止に指定されていないハンディータイプのスキャナーで読み込み、それをOCRでテキストファイルに変換。クラウドサービスにアップロードして、スマートフォンで閲覧することは、多くの企業では“セキュリティポリシー違反”にはなりません。あるいは、表計算ソフトで表示されている大量の情報を「コピー」してクラウドで提供されているオンライン表計算ソフトに「ペースト」することも、“セキュリティポリシー違反”にはならないという企業も少なくないでしょう。
このように、解釈によってはセキュリティポリシーに違反しておらず、導入が容易なため、クラウドサービスが勝手に使われている企業は少なくないようです。「勝手にクラウドが使われているようだ」という話はよく聞きます。しかも、ある程度使い込まれてしまうと既成事実化してしまい「今さら禁止できない」という悩みも出始めています。
この“勝手クラウド”は、セキュリティ面から見ると問題が大きいと考えています。クラウド事業者から情報が漏えい危険性という単純な問題ではありません。私物のスマートフォンや自宅の私物パソコンに企業の業務データが「拡散」「残留」し、将来的に「放流」「漏えい」してしまう危険性が日々増大しているということなのです。企業の業務ファイルがそのままの状態で持ち出されていれば、その経路をたどることやアクセス履歴などで流出経路などを調べることができるのですが、加工された状態で持ち出されると、調査は困難を極めます。流出範囲の特定や原因究明に多大な時間とコストがかかってしまう可能性が高いのです。
また、「ポリシーに書いていないからいいんだよね」「なし崩しで使えるようになるんだよね」ということをユーザーが学習してしまうことも大きな問題です。セキュリティポリシーが機能しなくなっていくかもしれないからです。時代に追従できていないセキュリティポリシーに対する従業員の不信感が根付いてしまうかもしれません。
セキュリティポリシーは「面倒なモノ」というとらえ方が浸透している現状から、「安心して便利に情報を使うための頼りになるガイドブック」に変貌していく時期にきたのかもしれませんし、同時に情報セキュリティ担当者も従業員満足度を意識した活動へと方針を変えていくべきなのかもしれません。
守り一手の情報セキュリティから、攻めの情報セキュリティへ取り組みを変えていく企業が増えることを期待しています。
