情報セキュリティの要は「人」

優れたテクノロジーを導入しても、結局情報が漏れるのは「人」からだ。

[Peter Coffee，eWEEK]

　ロシアのサンクトペテルブルクで昨年7月、ブッシュ米大統領とトニーブレア英首相の会話をマイクが拾った時、New York Timesのブロガー、バージニア・ヘファーナン氏はこの会話を含むCNNのビデオを掲載した。

　その後New York Timesのサイトに寄せられたコメントのほとんどは、大統領の言葉の選び方とテーブルマナーについての意見だった。だがあるコメントは、真剣に考えるに値することに着目していた。「2人ともまだマイクを付けていたことを忘れていたのに、たまたま国家・国際安全に関する機密情報の重要性について論じる人がいなかったことを喜ぼう」

　これはIT担当者が機密データを守り、重要な業務プロセスの完全性を確保することにおいて、責務に応えようとする――急速に高まる期待に応えるのは言うに及ばず――たびに、何度も現れる問題だ。

　投じる資金がある限りは、この問題にテクノロジーを投入することができる。国外で数学者やコーダーを雇えば、もっとテクノロジーを投入できる。ただし、コードが国境をまたぐ時に適用されるかもしれないロイヤルティーやインセンティブのことを考えなくてはならないが。

　それでも、どんな技術対策を導入しても、人々はセキュアでない状況で不注意なことを言ったりしたりする。

　暗号化データベースの256ビット鍵をサーバに付けることは可能だが、それでも人々は自分の名前をパスフレーズに使って鍵を生成するだろう。ユーザーが機密文書を編集したり、転送するのを制限するために権利管理ツールを使うことはできるが、それでも彼らはエレベーターで機密情報の話をしたり、飛行機の中で隣に知らない人が座っているのにそうした文書を読んだりするだろう。

　人的要素が情報セキュリティの要になることは、国家首脳のレベルにならなくても分かることだ。昨年夏にはPepsiCoとCoca-Colaが、PepsiCoに企業秘密を売ろうとした疑いで告発されたCoca-Cola社員を捕まえるために協力した。

　新製品開発のサイクルにはさまざまな弱点がある。企業にはすべてのプロセスの迅速化、フラット化を求める大きなプレッシャーがかかっている。そのようなリエンジニアリングに、セキュリティ強化が含まれることはめったにない。

　それは企業も個人も情報セキュリティの責任拡大を受け入れている9/11後の世界の皮肉な副産物かも知れない。これらは相対的だ。空港のチェックを通るのに靴を脱がなくてはならないような時代には、ネットワークパスワードを毎月変え、パスワードを類推しにくくする最低基準を満たすように頼んでも、過ぎ去った幸せな時代ほどには面倒に思われない。

　さらに、ブロガーが企業の内輪の恥を全世界に公開するこの時代なら、最も積極的なヘッドオフィスマネジャーでも、誘惑に屈して流出した情報を悪用する前に思い直す可能性が高いかもしれない。

　十戒の11番目の掟は、「汝、捕まることなかれ」だと言われている――例えばBoeingの多数の社員が、ライバルのLockheed-Martinの元社員から手に入れた文書を競争に利用して逮捕されたように。

　この事件が明るみに出た時、Boeingは約10億ドル相当の米空軍の仕事を失った。インターネットにつながった誰かに目撃され、それを世間に暴露される可能性が高い時、11番目の掟はさらなる重要性を帯びる。

　情報セキュリティ環境の継続的な技術の改良とは関係なく、技術者は危険を覚悟で人的要素を無視している。選挙で選ばれた人とは違って、企業のマネジャーは自らが例となって指導しなければならない。

　情報を資産として取り扱う際のすべての従業員の役割を明文化し、徹底的に監視し、特に忠実に遂行された時には適宜報いる必要がある。テクノロジーではそれができない。優れた経営者だけができることだ。

原文へのリンク