究極のセキュリティ対策は一人ひとりの意識改革：次世代企業が目指すべきセキュアなクライアント環境の実現（2/2 ページ）

[下村恭（ハンズシステム），ITmedia]

1人の社員として、ユーザーとしての意識改革が必要

　特に、ノートタイプのクライアントパソコンを使用している社員が、外出先でネットワーク接続をしている場合は注意が必要だ。外出先のネットワークがどれだけセキュアであるかは分からない。こうした状況で外出先でのネットワーク接続の権限を与えるのであれば、接続を行う社員には十分なセキュリティ教育を行った上で、それぞれのクライアントのセキュリティを守る責任も与えるべきだ。

　これを実現するためには、ユーザーとしてセキュリティに関する意識改革をきちんと行うことが必要となる。企業がやるべきは個々のユーザーを教育し、セキュリティに対する意識を向上させることだ。当然、コスト面での負担を強いられることもあるが、社員教育によるクライアントセキュリティの確保は、最も有効な手段の一つといえる。

　社員個人の立場で考えても、これは必要なことだと理解したい。もし仮に、自分の勤務する会社がクライアントの管理やセキュリティ対策をおろそかにしているとする。そんな中で情報漏えいが起こった場合、その原因が自分にあると言われてしまったら、どうすればよいだろう。いくら会社が対策を怠っていたとしても、最悪の場合、「スケープゴート」にされてしまう可能性もないとはいえまい。

　少なくとも、ウイルスやワームをばら撒いてしまったり、情報漏えいを起こしてしまわないように自己防衛と管理をしておくのも、社会人としての常識になりつつあるのではないだろうか。職場のネットワークの安全を保つのは、個々の社員である自分たち自身だという意識を持とう。

　もちろん、企業としての責任は大きい。セキュリティ対策に掛かるコストが、直接売り上げに結びつかないという理由で、ある種の保険のように捉えられてしまうため、どうしても後手に回ってしまう傾向があることは否めない。だが、情報漏えいなどの問題が発生すると、企業生命にかかわるような問題に発展してしまったり、長期にわたるシステムダウンが発生し、マイナスの影響が売り上げに及んでしまう場合もある。社員教育を含めて、企業全体としてセキュリティの向上に努めるべきだろう。

　それぞれの社員がセキュリティに対して十分に気を配っていて、かつ、企業体としてもセキュリティに十分な対策を施しているというのが、理想のセキュリティ対策といえるだろう。

何重もの対策が必須

　本特集を通して強調した点だが、セキュリティ対策は何か一つを行っていればよいというわけではない。セキュリティへの対策はいろいろな手法があり、それぞれに何かしらの弱点がある。これらの弱点を補完するように、幾つもの対策を何重にも施しておくことが必要だ。

　企業レベルで全社的に施す対策と、社員個人レベルで注意できる対策を組み合わせる。また、パスワード保護など設定面で行う対策と、暗号化などのソフトウェア的な対策、さらに、生体認証などのハードウェア的な対策と、複数の技術を組み合わせたセキュリティ対策を行う。シンクライアントの使用といった技術的な対策と、勤怠管理の作業記録による不正抑止といった制度的な対策を行うなど、さまざまな次元でセキュリティ対策を組み合わせることが可能だし、組み合わせてトータルな対策とするべきだ。

　事件事故が起こるときは、想定外の部分に弱点がある場合が多い。セキュリティ上の弱点が少なくなるように、業務内容を見直すことも検討すべき課題だろう。クライアントセキュリティ対策に真剣に取り組んだ企業こそ、次世代に生き残る企業となる。