職場のネット私用、危ないのはクビだけではない（1/2 ページ）

業務中のWebサーフィンは許されるのか――「判事は許してもIT管理者は許さない」がその答えのようだ。

[eWEEK]

　夏の到来も近いが、Webサーフィンに出かけるスタッフには天気の心配は無用だ。そしてオフィス以上にWebサイトのチェックに最適な場所があるだろうか？

　だが企業というビーチでライフガードの役割を果たすIT管理者にとっては、ネットワークの健康・安全ルールの施行があやふやになってしまうことがある。

　IT専門家の経験、そして最新の調査結果は、ほとんどの（非IT部門の）スタッフが、セキュリティとWebに関する通達事項を理解していないということを示している。あるいは、単に気にしていないだけなのだろう。

　Webサーフィンという一見気軽に見える行動がスポットライトを浴びたのは、先月、ニューヨーク市行政法判事が、就業時間中に旅行サイトやエンターテインメントサイトを閲覧した市の職員が（解雇という）不当な処罰を受けたとの判決を下したときのことだった（4月25日の記事参照）。

　この判事はWebサーフィンを新聞の閲覧や私用電話に例え、業務に支障を来さない限りは容認できる休憩中の行動だとした。

　しかし、多くの読者がこの判事は重要なポイントを見落としていると指摘している。コンピュータ利用時の行動に伴うネットワークセキュリティ、さらには企業そのものに対する個々の従業員の責任だ。

　「一体全体どういうことだ。この判事が何を知っているというんだ？　セキュリティのことは何も知らないだろう。従業員に好きなようにWebサーフィンさせたら、トラブルを呼び込んでいるようなものだ。それに耐えなければならないIS（情報システム）部門が気の毒だ」。この判決に関して、Tvantineと名乗る読者はこのようなコメントをeWEEKに寄せている。

　間違いなく、電子メールやWebサイト上でクリックすることに対してユーザーが持つ安全意識と、こうしたクリックの実際の安全度の隔たりは大きい。

　ではここでSouthern Farm Bureauの上級技術アナリスト、ハワード・グレーリン氏に話を聞いてみよう。同氏は2000年に、ある従業員がI Love Youワーム付きメールを開いたために起きた混乱を処理し、修正するために週末丸ごと費やしたことを覚えている。

　「誰ともつきあいのない女性からI Love Youという件名のメールが皆に届き始めた。わたしは困惑したが、3通目を受け取った頃にはウイルスではないかと疑うようになっていた。だがその時既に、1人の従業員がそのメールを開いてしまっていて、全体が感染した」とグレーリン氏はeWEEKに語った。

　「すべてを修正して安全な状態に戻すのに丸2日かかった。家に帰ってパッチをダウンロードして、それをCDに保存して、また職場に戻らなくてはならなかった。（職場は）すべての接続を遮断しなくてはならなかったからだ」（同氏）

　アナリストは、こうしたIT部門とクライアント部門の断絶はありふれたことだと示唆している。

　セキュリティベンダーWebsenseによると、組織のおよそ5社に1社（17％）が、従業員が社内ネットワークでハッキングツールやキーロガーを起動してしまったことがあるという。この割合は2005年の12％から増えている。

　この結果は5月15日に、同社の7回目の年次Web@Work調査の中で発表された。

　この調査ではまた、IT管理者の19％が、従業員の業務用コンピュータあるいはノートPCがボットに感染したことがあると回答した。

　さらに5人中4人（81％）が、従業員が電子メールあるいはIM経由でフィッシング攻撃を受けたことがあると答えた。そのうち約半分（47％）のケースで、従業員がフィッシングメッセージのリンクをクリックしたという。2005年にはこの割合は45％だった。

　「フィッシング攻撃やキーロガーなどのWeb上の脅威に対する従業員の意識は向上しているが、大半はまだ、自分が職場でこの種のソーシャルエンジニアリングの手口に引っかかる可能性があるということを分かっていない」とWebsenseのセキュリティ・テクノロジー上級調査ディレクター、ダン・ハバード氏は語る。

　Websenseが2005年に発表したフィッシングトレンド調査では、フィッシングメールに引っかかったことがあると答えた従業員はわずか4％、だがIT管理者に聞いたところでは、この割合は実は45％近いという。

　「組織はWebセキュリティに対して予防的なアプローチを取る必要がある。これには感染したWebサイトやアプリケーションへのアクセスを遮断する技術と、従業員向けの厳しいインターネットセキュリティ教育プログラムが含まれる」（ハバード氏）