IMの利用ポリシー/ルールを定めよ
気軽なコミュニケーション・ツール。だが気軽に運用してはいけないインスタント・メッセージング(IM)は、米国の多くのビジネスパーソンにとって、日常の業務連絡に欠かせないツールとなりつつある。しかし、いくらIMが気軽に利用できるからといっても、ポリシーやルールを定めることのない“野放し”の状態にしていては、いつか深刻なセキュリティ被害の憂き目にあうことになる。本稿では、企業・組織でIMを利用することによって発生するリスクと、その対処方法について検討する。
便利なコミュニケーション・ツールのセキュリティ危機
金融機関を除けば、大半の企業は従業員がオフィスでIMを使うのを全面的に禁止してはいない。事実、Computerworld米国版が113人のITマネジャーを対象に実施した調査では、オフィス間や会社間のコミュニケーション手段としてIMの利用を認めていると回答した割合が40%にも上っている。
だが、気軽に使おうとするとスパイウェアやウイルス/ワーム、フィッシング詐欺など、電子メールに似たトラブルがIMに襲いかかってくる。こうしたトラブルを極力減らすために、徐々にではあるがさまざまなセキュリティ対策が講じられるようになってきた。米国の調査会社エンタープライズ・ストラテジー・グループが192人のIT管理職を対象として今年2月に実施した調査によると、IMのセキュリティ対策に未着手と回答した企業の割合は30%足らずであったという。
IMをビジネスで有用なコミュニケーション・ツールとして認めるということは、従業員にもその利用に責任を持たせるということを意味する。社内でのIM利用を認めている企業は、ポリシーとルールを通してその利用を管理しており、ITマネジャーは、URLフィルタリングやプロキシ・サーバ、ファイアウォール、専用のIMセキュリティ・ソフトなど、さまざまなセキュリティ技術の採用を検討している。
「多くの企業は、本心ではIMの制限や禁止に乗り気ではないのかもしれないが、従業員に節度ある振る舞いを望んでいるのだ」と、SAGPH(全米映画俳優組合のプロデューサー年金保険部門)でCIO(最高情報責任者)補佐を務めるケビン・ドネラン氏は言う。「節度を保ってIMを使ってもらうのに最も有効なのは、やはりポリシーとルールを決め、従業員に従わせることである」と同氏。
SAGPHはIMの利用に関するポリシーを施行するために、シマンテックのIMセキュリティ・ソフト「IM Manager」を採用した。IM Managerは、基本的なIM管理機能に加え、最近のIMで一般化しつつある音声/ビデオ交換機能のような、IMネットワークを介したアプリケーションとファイルの共有に対しても高度なセキュリティおよびアーカイブの機能を提供する。なお、SAGPHのようなヘルスケア関連団体は、HIPAA(医療保険の相互運用性と説明責任に関する法律)に代表される米国内の法令への順守とデータ保持義務に取り組む必要があり、IMの利用にも万全な対策を立てている。
IMを利用すること自体を禁止する企業
IMの利便性を認め、導入を検討してきたものの、業界での規制の厳しさからリスクを冒してまで認める気になれないという企業も少なからず存在する。
「SEC(米国証券取引委員会)により、IMでのやり取りを3年間にわたり保管することが義務づけられているため、金融サービス業は2、3年前から、IMのセキュリティという技術には強い関心を示してきた」と話すのは、コンプライアンスと記録管理を専門とするビジネス・コンサルティング会社のレクサコスのマネージング・パートナー、リチャード・ウルフ氏である。
ファースト・ナショナル・バンク・オブ・ボスク・カウンティは、SECの監督と厳しい規制を考慮した結果、自行でのIMの利用を禁止することにした。「あらゆるメリットとリスクを検討した結果、メリットよりリスクのほうがはるかに高いと判断した」と、同行副頭取のブレント・リッケルズ氏は話す。「IMでできることはたいていメールでもできるし、情報が承認を得ずに社外に流れる危険性が非常に高い」(同氏)
IM先進ユーザーからのアドバイス
IMに対するとらえ方は、「好き」か「嫌い」かの2つにはっきり分かれる傾向があるようだ。
「IMを肯定的に受け入れ、プロキシ・サーバをはじめとするセキュリティ対策も投資を惜しまずにやるか、そもそも社内でのIM使用を全面禁止するかのいずれかだ」と、ニューフォース・パートナーズ(カリフォルニア州サンマテオ)のマネージング・ディレクター、ロバート・ホッファー氏は語る。M&A(合併・買収)のコンサルティング・サービスを手がける同社はIMを幅広く活用している企業の1社だ。「タイとロシア、インドのソフトウェア・エンジニア全員とIMでやり取りしているほどだ」とホッファー氏。
また、ニューフォースはIMを社内で利用するだけでなく、ビジネス上の高度な活用方法について、同社の顧客企業にアドバイスや研修を行っているという。ホッファー氏は、IMを正式に導入する予定の顧客に対し、戦術的なアドバイスを与えている。
「エンドユーザー数などのニーズに合わせてすぐに拡張できるIMプロキシ・サーバを購入することを勧めている。その際には、製品の提供元が複数のIMネットワークのネーティブなファイル転送プロトコルをサポートしているかどうかを確かめることが重要だ。あとは、IMをメール・タイプのインタフェースでラッピングするような製品は導入しないように注意している。セキュリティに気を配りつつも、IMはあくまでIMとして使わないと、その導入効果が得られないからだ」(ホッファー氏)
HOW TO
IMのセキュリティ・リスクをマネジメントする方法
大半の企業では、オフィスでのIMの利用を完全には禁止していない。リスクの程度を計り、セキュリティ・ポリシーを施行するために、専門家は次のようなアドバイスを与えている。
■メリットとデメリットを明確化する
IMを禁止する前に、IMをビジネスにどう利用できるかを調べて、メリットとデメリットを明らかにする。
■要件を明確化する
法令や業界の規制、既存のITポリシーを基に、IT導入・運用の要件を明らかにしておく。
■メールの運用を参考にする
IMの利用ポリシーを策定する際には、共通項の多いメールの運用について定めたポリシーやルールに当てはめてみる。
■リスク発生時に用いる技術を検討する
業界規制に引っかかるようなIMメッセージが送信されるようなリスクに対し、どのような技術を用いるかを検討する。また、コンプライアンス・マネジャーや弁護士への報告など、リスク発生後の対処プロセスも明らかにしておく。
