企業がやるべきクライアントのセキュリティ対策とは？：次世代企業が目指すべきセキュアなクライアント環境の実現（1/2 ページ）

前回までは、主にクライアントを使用する立場にあるユーザーの意識を喚起してきた。だが、企業ネットワークの一員であるクライアントのセキュリティを考慮するにあたっては、当然ながら企業側の対応も不可欠だ。

[下村恭（ハンズシステム），ITmedia]

　もしも、今までクライアントセキュリティへの考慮をしていなかったのであれば、ここで真剣に考慮することをぜひともお勧めする。

　本特集を通じて訴えていることの1つである、いったん情報漏えいなどの問題が起これば、企業生命を脅かすことにもなりかねないという点をしっかり認識していただきたい。顧客への影響を最小限にとどめられたとしても、社内ネットワークシステムの停止などで、企業活動や売り上げに多大な影響を与える可能性も少なくないのだ。

クライアントの利用法には制限があってしかるべき

　ユーザーの立場からすれば、会社はクライアントパソコンとネットワークを用意し、後は自由に使わせてほしいと考えるだろう。自分の使いたいソフトウェアをインストールしたり、社内外の制限なく、どこにでも持ち運んで利用したいと思う気持ちも分かる。

　だが、このような要求を何の基準もなく認めてしまうことには問題がある。特に、どのクライアントがどのように使用されているかをきちんと把握できていなければ、管理しているとは言い難い。企業側にしてみれば、会社の資産であるクライアントを管理すべき義務がある。もし何かしらの問題が発生したとなると、原因の究明から再発防止までの責任を負うのは企業側だ。かつては担当者一人が辞職するなりで解決とした場合もあった。だが、このところは社会の目も厳しく、企業全体の責任として追求されることは必至だ。

　また、たとえ従業員数が少ない小規模の企業であっても、扱う情報の質によっては社会的影響が大きくなる場合もある。企業規模の大小で責任の重さが変わるわけではないことを認識したい。ネットワークを利用しているのであれば、企業責任としてクライアント管理に努め、セキュリティ対策を講じるべきだ。つまり、ポリシーを明確にし、的確に実施する必要があるということだ。

　よく耳にするこのポリシーという言葉は、クライアント使用上の制限を含むさまざまな政策を指す。もちろんパソコン関係以外でも使われる言葉だが、ここでは、ネットワークポリシーやセキュリティポリシーといった言葉で表される、社内ネットワークやクライアントを使用する上での政策として扱いたい。

　社内には、明文化されたものや不文律を含むさまざまなルールが存在するはずだ。広い意味ではこれらルールもポリシーの一部と見ることもできるが、強制力を伴うという意味では、ポリシーの方がより厳格だ。もちろんルールは守って当たり前だが、ポリシーは守らなければならない。ということは、ポリシーは不文律であってはならないし、お互いの合意のようなルールにとどまっていてもいけない。間違いや勘違いといった人間のミスによってポリシーが守られないということさえあってはならない。

　クライアントパソコンの利用におけるポリシーであれば、各種のツール類を使用して徹底させることが可能だ。また、部署単位や個人単位でポリシーのレベルを調整することもできる。もちろん、今までポリシーによる管理をしていなかったのであれば、そのためのコストが掛かるのは仕方がない。しかし、管理コストは最小限にとどめることが可能なのだから、自社を守るためには多少のコストは必要不可欠なこととして、ポリシー管理を実施すべきだろう。

どのようにセキュリティポリシーを策定するか