利用者が意識しないように設計するのがキモ：特集：セキュアなドキュメント流通を目指して（3）（2/2 ページ）

[大津心，＠IT]

エンドユーザーに意識させないことが、負担軽減・普及につながる

　このように、セキュリティ対策や情報漏えい対策は、全社的にリスク分析、ポリシー設定を行なわければならない。このような対策はトップダウンで導入しなければ、全社的な統制を行い、セキュリティの弱点を防ぐことはできない。かといって、現場の声を無視して、反感を買うような非現実的な施策を実施してしまうと、「ユーザーが抜け道を探し始めてしまう」（西部氏）ため、運用上の問題が発生してしまうのだ。

日立製作所 ソフトウェア事業部 システム管理ソフトウェア本部 JP1マーケティング部 主任技師 西部憲和氏

　もし、ユーザーが抜け道を見付け、施策を実施していないユーザーが1人でも発生してしまうと、対策の意味がなくなってしまう。企業としては、セキュリティレベルを維持するために「効率がある程度落ちたとしても、一定レベル以上のセキュリティレベルは維持するべき」であるため、現場が抜け道を探す事態も避けなければならない。

　では、どうすればよいのか。

　日立では、「そもそもセキュリティ施策が実施されていることを意識させない」や「利用者がセキュリティを意識しないような設計」が重要だという。

　例えば、重要ファイルを暗号化する際に、いちいち暗号化するためのアプリケーションを立ち上げたり、暗号化するためのフォルダに保存しておくような施策は、ユーザー側の作業がひと手間かかるため、面倒臭がるユーザーもいるはずだ。そこで、すべてのファイルやドライブを自動で暗号化する仕組みを導入すれば、ユーザーは暗号化する手間が省ける。暗号化に時間がかからなければ、なおさらユーザーは意識しにくいだろう。

　市川氏は、「もちろん、ユーザーにセキュリティの重要性を説明し、理解させる啓蒙活動も必要だが、ユーザーの利便性を落とさずにセキュリティ対策を実施させる工夫も必要だ。日立のJP1では、ユーザーが意識しないような設計を心掛けて作っている」と説明する。

性悪説に立ち、シンクライアントなどを自社導入している日立

　日立の場合、先述のように「以前は性善説に立っていたが、現在では性悪説を前提にするようになってきている」という。その結果、社外に持ち出すPCはすべてシンクライアント化されており、万が一出先でPCを紛失しても、そもそもPCに情報が入っていない状態にしている。

　また、このように性善説から性悪説にポリシーが移行してきているため、暗号化など予防的統制に対策がシフトしつつある。その一方で、製品面でユーザー負担を減らすことで、トータルで見た場合の運用コストの増加を防いでいる。

　加藤氏は、「セキュリティで一番怖いのは“何となくやっている”ことだ。また、セキュリティ製品を入れただけで安心し、入れっぱなしにして管理・運用していないケースも多い。これではセキュリティ製品を入れた意味が半減してしまう。セキュリティ製品も、導入後にきちんとPDCAサイクルを回すことで、より効果が発揮できる。セキュリティ製品を入れた後、細かいポリシーを設定して運用するのは非常に大変だが、ITコンプライアンスを実現するうえでぜひ努力して、チャレンジしてほしい。日立では認定技術者制度や各種教育制度も用意している」と説明した。

「特集：セキュアなドキュメント流通を目指して」バックナンバー

• ドキュメント流通には“捨てる覚悟”も重要
• 利用者の“納得”に基づく必要最低限の施策を
• 利用者が意識しないように設計するのがキモ
• 現場が抜け道を探さないポリシーの作り方
• 利便性とセキュリティのはざまで苦しむ現場