«

»

1月 04

043情報セキュリティ対策の難しさを克服するポイント

情報セキュリティ対策はどちらかというとネガティブな活動と考えられていることもあり、対策を進めようとすると様々な障害にぶつかることが多い。また、脅威が日々変わっていくことも難しさの要因となる。「難しさ」の性質を踏まえて、現実的で有効な対策を行ないたい。

□ セキュリティ対策の難しいところ
組織の情報セキュリティ対策を進める上で、避けて通れない「難しさ」には以下のようなものがある。

(1)日ごとに変化する脅威に対応しなくてはならない
IPA(独立行政法人情報処理推進機構)が毎年発表している「セキュリティ10大脅威」というのがある。2011年版ではTwitterやスマートフォンへの脅威が追加されている。悪いことをするほうは、よく飽きもせずにやるものだと変に感心したりもするが、とにかく大小とりまぜ、次々と新たな脅威が出現する。
こうなると守る側としては、技術的な対応や、ルール制定などの管理的な対応が追いつかず後手にまわってしまうこともあり、なかなかやっかいだ。

(2)セキュリティ対策は利便性の制限になることが多い
例えば、USBメモリは非常に便利なものだが、情報漏えいやウィルス感染の大きな脅威となるため、利用を制限している組織は多い。さらに言ってしまえば、パスワードですら面倒だというのが多くの人の本音ではないだろうか。
このため、ITの利用者はできることなら不便なルールを破りたい心情になる。夜間一人で仕事をしているとき、データをUSEメモリに入れて自宅でやってしまいたくなる誘惑に駆られてしまうのだ。

(3)性善説ではうまくいかない
社内の人間の故意による情報盗難、過失による情報漏えいなどは、非常に被害件数の多いセキュリティ事故である。ほんの一握りの不届き者の、ほんのでき心による行為であっても許されないことは言うまでも無い。このために残りの大部分の人が「犯罪者予備軍」的な想定でルールが作られ、執行されることは、管理者、経営者としても心苦しいだろう。しかし、少し視野を広げてみれば、「法」というものはすべからくそういうものなのである。

(4)対策コストは売上につながらない上、無制限に増加する気がする
経営者からみれば効果の定かではないことにはお金をかけないのが当然である。ルールを守っていれば必要の無いパソコンの操作ログ監視システムや、これまで被害はなかったのに結構高価なサーバー用のウィルス対策ソフト導入費用を払うのにはためらいが伴う。
コストの観点からいえば、情報セキュリティへの投資判断は非常に難しい。売上高比率で決めるわけにはいかないし、ITベンダーが提案する全ての対策をすることも難しい。
また、このことと、(2)で挙げた「セキュリティは利便性を制限する」、(3)の「性善説ではうまくいかない」性質から、情報セキュリティを推進する担当者は嫌われ者になりがちである。

□ 対策推進のポイント
以上のようになかなか悩ましいのが組織の情報セキュリティ対策という活動である。考えられることを全てやるには手間暇も、お金も足りないなかで、やれるのは優先度の高い効果的な対策から実施していくことである。
大きく、以下の3点がポイントとなる。

1.リスク評価に基づく方針の設定
どこまでの対策をどのようにするのかの方針を決め、ルールで対策するもの、仕組みで対策するものを明確にする。そのためにはセキュリティのリスクを評価して、回避するのか(リスクの源をなくす)、軽減するのか(被害を少なくする)、転嫁するのか(保険をかける)、受容するのか(受入れる)を判断することは必要である。

2.段階的に仕組みに移行する
先に挙げた例のUSBメモリの規制や、有害Webサイトの閲覧制限などは、ルールで守らせようとすると何かと抜け道がでてしまうので、仕組みで強制的に守るようにしたい。急激な規制は業務への影響も考えられるし、コストもそれなりにかかることから計画的、段階的に進めるほうがうまくいく。

3.全員の意識改革、教育は丁寧にしつこく
最新の脅威には仕組みやルールでは対応できないことも多いので、セキュリティに対する意識や最新知識を啓発ビデオや勉強会を通じて向上させる必要がある。一回やってもすぐに忘れることが多いので、繰り返し、しつこくやるのがコツである。
(2012.5.18 執筆:山田一彦)