抜け穴を探すエンドユーザーたち：悲劇は喜劇より偉大か？

セキュリティ対策を施してから持ち込みPCを許した。ところが、利用者はシステムの穴を見つける。ニーズがあるものを管理者の都合で禁止しても抜け穴を作られてしまうだけだ（攻めのシステム運用管理）。

[ITmedia]

　持ち込みノートPCというのは、セキュリティ上に危険である。ウイルスに感染しているかもしれないし、社内の機密情報をコピーして持ち出されるかもしれない。しかし、現実的には完全に持ち込みノートPCを禁止できない企業も多いものである。

ノートPC利用解禁の圧力

　これらセキュリティ上の問題から、持ち込みノートPCを禁止している組織は多いと思う。著者の所属する会社は外資系ということもあり、海外の親会社からひっきりなしに来訪がある。彼らはノートPCを持ち込み、事務所内でインターネットに接続することを強く望む。そんな彼らに毎回社内のセキュリティポリシーを外国語で伝えた上で、持ち込みノートPCを禁止するように伝えるのは非常に大変だ。あまりの圧力に、持ち込みノートPCを解禁してしまった。

　持ち込みノートPCを受け入れるためには、セキュリティ対策にそれなりの準備が必要になる。無線LAN禁止、MACアドレスによるDHCPでのIP割り当て、重要サーバに接続できないアクセス制限などである。最初の頃は正直不安であったが、ここはさすがにIT企業である。特に問題なく数カ月が過ぎ、当初の不安は徐々に解消され、関係者一同、安堵した。

　ところが、利用者がシステムの穴を見つけるようになってきた。制限された環境では知恵が生まれるとよく言うが、MACアドレスによるDHCPでのIP割り当ては申請が必要で不便と察知するや、従業員が利用しているPCの固定IPアドレスを調べて使う者が現れた。

　このような行為が横行するようになると、当然そこにはモラルなど存在しなくなる。ついに社内でウイルス拡散事件が起きてしまった。その当時、社内システム管理者は利用者がそこまでの知恵をつけているとは思わず、数時間原因が特定できないでいた。

　ウイルス拡散事件は、その後なんとか無事に収まったので良かったが、問題はシステム管理者が何かしらの制限をかけると、ユーザーは抜け道を探すということが分かったことである。最近では、特に事件らしき事件は発生していないが、ひょっとしたらシステム管理者の知らないところでいろいろな穴が作られているのではないか。そう考え始めると恐ろしい限りである。

教訓

　持ち込みノートPCを禁止することが、実際は現実的にできない企業も多いはずだ。ニーズがあるものをシステム管理者の都合で禁止しても、抜け穴を作られてしまうだけである。こういう場合は、利用者にきちんとした教育を施すことを提案したい。

　少なくとも、やってはいけないことをメッセージとしてきちんと利用者に伝えることは、下手にシステムに制限をかけることよりよほど抑制効果が強いかもしれないと感じている。また、事件が起きた時の責任の所在も明確に告知しておくと、さらに効果的かもしれない。

若葉田町