【解説】
企業を危うくするセキュリティ［NG］集

Side Story
「従業員」というセキュリティ脅威と向き合う

Jennifer McAdams／Computerworld米国版

　ネットワークやデータセンターのセキュリティ強化を図るだけでは、社内のインテリジェンス・データを守るのに十分とは言えない。社内に潜む脅威にも目を向け、従業員の行動を監視したり、従業員ごとに個別のセキュリティ教育を施したりする必要がある。

　専門家によれば、すぐれたセキュリティ対策と言われるプロジェクトには1つの共通点がある。それは、職務に合わせる形でカスタマイズされた従業員向けのトレーニングが含まれていることだ。

　カスタマイズされたトレーニングとは、例えば人事担当者を対象に、人事ファイルの安全な管理方法を教育することである。施設担当者には偽造IDで入館を試みる人間の監視を、営業担当者にはCRM（顧客関係管理）システムへの不正侵入を阻止する術を教える、というのもカスタマイズ・トレーニングに含まれる。

　もっとも、基幹業務システム、あるいは機密データを保管しているシステムへのアクセスを従業員に一切許可しないのであれば、こうした教育は必要ないかもしれない。しかし、許可しなければ業務がスムーズに進まないというのが、どの企業でも実情であろう。

　機密データへのアクセスを従業員に許可することを、避けて通ることができない“ギャンブル”だと表現するセキュリティ管理者もいる。人間の行動を予測することなど不可能だからである。しかし、貴重な資産を守る企業側としては、これと真剣に向き合っていかざるをえないのだ。

企業内部の監視――カジノにならうインサイダー対策

　ギャンブルの例を1歩進めて考えてみよう。カジノでは、テーブル、持ち場、フロアのすべてにエリアにおいて、顧客や従業員による不正行為を阻止するための監視体制が敷かれている。

　極論すれば、これと同様の監視体制が企業にも求められるわけだ。社内のあらゆる場所に散らばっている従業員を、個々にカスタマイズされたセキュリティ対策に応じて効果的に“機能”させれば、不正侵入などをほぼ完全に阻止できる。

　実際、カジノで実践されているセキュリティ対策を企業に応用すれば、だれがどの仕事を担当しているかに基づいて、セキュリティに関するコモンセンス・ガイドを作成できる。例えば、最も価値の高い、あるいは最も脆弱性の高いビジネス資産を1人の従業員に任せてはならないこと、従業員によるアクセス権限を可能なかぎり細分化すること、従業員の監視を怠ってはならないことなどだ。これらは、クラップス（2個のサイコロの出目を競うゲーム）のピットやブラックジャックのテーブルを観察すればおのずとわかる。

　『Applied Cryptography（邦題：暗号技術大全）』などの著者として知られるブルース・シュナイアー（Bruce Schneier）氏も、カジノの黄金律に従うべきだと助言する。同氏はカジノを引き合いに出しながら、企業の個別セキュリティに関する重要な問題を提起している。

　Schneier氏は、フロアにいるすべての人間を潜在的なセキュリティ脅威と見なすカジノのマネジャーのように、ITセキュリティ・リーダーもすべての従業員を監視すべきだとアドバイスする。「人間こそ、セキュリティの最も弱い部分であり、それは今後も変わることはない。人間とのかかわり合いをなくすことはできないし、人間は過ちを犯すものだ」（Schneier氏）

　インサイダー、すなわち従業員の不正行為から企業を守るという考えは今に始まったことではない。人的要素がはらむリスクについては、以前から多くの専門家が口をそろえて指摘してきた。

　「企業リソース／資産への従業員のアクセスを、企業はリスクととらえるべき」と話すのは、米国Network Risk Managementのマネージング・ディレクター、ケント・アンダーソン（Kent Anderson）氏だ。同氏は、警備員からIT部門のスタッフ、エンドユーザー、そして幹部社員に至るすべての人間がリスクをはらんでおり、セキュリティ責任者はその前提に立って対策を講じるべきだと強調する。

　脅威の発信源が外部なのか、それとも内部なのかを判別するのが難しくなりつつあるというのが、昨今のセキュリティ問題の1つの傾向だ。「内部と外部の人間の隔たりがどんどん薄らいでいる」と話すAnderson氏は、契約業者や提携企業、サプライヤーなどについても、従業員の場合と同様の注意を払うようアドバイスしている。

　ただし、セキュリティ上の責任を1人のマネジャー、あるいは部門がすべて負うというやり方は賛成できない。1980年代に米国で全社規模での品質管理が提唱されたように、セキュリティも全社を挙げて取り組むべき問題なのだ。

従業員1人1人のセキュリティ意識を高めるには

　1人1人の従業員が価値ある情報と資産を作り、取り扱い、送信し、保管する。そしてこれら資産の安全を守るのも従業員1人1人である。しかし残念なことに、そのために従業員は何をすべきなのか、それぞれの仕事をこなしながら効果的にセキュリティ・リスクを管理するにはどうすべきかについては、どの企業でも十分な社内教育が行われているとは言い難い。

　セキュリティ・リスクを見極めるだけでも十分難しいのに、セキュリティをテーマに自社の従業員と向き合うとなると、さらにやっかいだ。というのも、従業員は通常、退屈なセキュリティ・セミナーで繰り返される訓話にはほとんど耳を貸そうとしないからである。

　しかも、大抵の従業員はセキュリティを一元的にしかとらえていない。ミズーリ州ジェニングスの学区担当テクノロジー・ディレクター、ノーリス・ロバーツ（Norris Roberts）氏は、多くの従業員はセキュリティを、企業責任の観点からでなく、自分たちの責務にどう影響があるかという視点でしか見ていないと指摘する。

　とはいえ、セキュリティ・コントロールを日々の業務にどう適用すべきなのかを従業員に教え込まなければ、事態の改善は望めない。

　ただしAnderson氏は、四半期ごとの啓発セミナーはコンプライアンス主導型のセキュリティ教育プログラムには役立つかもしれないが、それだけでは不十分だと言い切る。

　従業員教育でよく見受けられるのが、トレーニングを厳格に実施したほうがセキュリティへの意識も高まるという誤解だ。トレーニングが厳格すぎると、セキュリティ・ポリシーの実践に協力しようとする社員の意欲を高めることは難しくなる。

　米国ISC2（International Information Systems Security Certification Consortium）のエグゼクティブ・ディレクター、エディ・ザイトラー（Eddie Zeitler）氏は、セキュリティ・トレーニングの強化ばかりに気を取られてはならないとしたうえで、セキュリティ対策が経営者と従業員の双方に利益をもたらすことを教えるべきだと説く。

　「従業員を退屈させずに彼らのやる気を喚起するには、セキュリティ対策の不備が従業員にも多大な影響を及ぼすことを彼らの前できちんと示すべきである。セキュリティ対策を実行に移さなかったがために自分のクビが飛ぶかもしれない――こうした認識が、ルールを守ろうとする意欲を高めるのだ」（Zeitler氏）

　大金が動くカジノでは、ルールに関する妥協が一切許されない。企業もこれにならい、セキュリティに関する妥協を受け入れない姿勢を従業員に示すべきだ。そのメッセージが従業員に受け入れられて初めて、アクセス権限の付与が“ギャンブル”でなくなるのだから。