企業が考えるべき情報セキュリティの新たな方向性：新時代の対策（1/2 ページ）

ITmedia エンタープライズ主催のセミナーでは、情報セキュリティの第一人者として知られる三輪信雄氏と、情報漏えい事件を経験したカカクコムの安田幹広COOが講演した。両氏が紹介してくれた企業が取り組むべき情報セキュリティの方向性をリポートする。

[國谷武史，ITmedia]

　ITmedia エンタープライズが主催するソリューションセミナー「情報漏えいの撲滅を目指す新時代の対策とは」が11月18日、都内で開催された。同セミナーでは情報セキュリティの第一人者として知られるS&Jコンサルティング代表チーフコンサルタントの三輪信雄氏、2005年に情報漏えい事件を経験したカカクコムCOOの安田幹広氏が登壇した。

　三輪氏は、多数の企業や官公庁などで情報セキュリティへの取り組みを支援しており、講演では企業や組織が抱える問題を取り上げた。また、安田氏は事件を教訓に現在も継続している同社でのセキュリティ対策を紹介した。両氏の講演内容をリポートする。

セキュリティ対策の「リブート」

三輪氏

　基調講演に登壇した三輪氏は、企業で従来から進められてきたセキュリティ対策の問題点と、企業経営を取り巻く環境の変化について触れ、セキュリティ対策へのアプローチを根底から見直すことの重要性を提起した。

　同氏によれば、従来からのセキュリティ対策は主にインターネットを中心としたマルウェアやハッキングへの対処と、イントラネットにおけるマルウェア対策や情報漏えい対策の2点で進められてきた。マルウェアやハッキング対策ではシステム的な対応が取られているものの、情報漏えい関連では防止するため努力ばかりに目が向けられてきたという。

　情報セキュリティ対策を推進する上で、特に企業が注力するのがセキュリティポリシーの策定や、従業員に対する教育となる。同氏はこれまで多数の企業や組織のセキュリティポリシーの策定、運用の支援に携わってきたが、セキュリティポリシーがルールブック化していると、以下のように問題点を指摘する。

　「本来はポリシーを基にきめ細かいルールが設けられるべきだが、混同してしまっているケースが目立つ。具体的なセキュリティ問題を網羅するばかりが重視され、追加事項を積み重ねた結果、ただ分厚いだけの規則集が作られている」

　ポリシー内容面でも想定しうる個々の事例は多数取り上げられているものの、その企業や組織がどのような方針を基に情報セキュリティ対策を推進するのかといった点が不明瞭な場合が多い。

　セキュリティポリシーを基に実施されるべき教育でも、基本方針が明確ではないことで受講者の意欲や理解の向上にはつながらないという。その結果、教育の実効性よりも教育を実施したという事実ばかりが先行してしまい。効果が見えないままに多大なコストが費やされる状態が続いている。

　同氏は、従業員を「優等生タイプ」「うっかりタイプ」「情熱タイプ」「悪意のあるタイプ」の4つに大別できるとも説明。セキュリティ教育で最も効果があるのが、決められたルールを守る優等生タイプだ。しかし、道具を紛失してしまうようなうっかりタイプや、業務を最優先して仕事を自宅に持ち帰るような情熱タイプには効果が限定的になりがちである。個人的に負債を抱えていたり、企業情報を狙ったりする悪意のあるタイプには効果は期待できない。

　組織として信頼のある形態を目指すモデルケースに消防や救急、公共インフラといった「高信頼性組織（HRO）」が挙げられることもある。HROにはトラブルやインシデントにつながりかねないミスを再発防止につながる努力、隠ぺいを許そうとしない風土、業務内容に対する従業員の高い意欲といった特徴がある。

　しかし、多くの一般的な企業や組織はマニュアルやルールの意味を考えずに実行したり、ミスを重要視しなかったりする傾向が強いと同氏は指摘する。組織に批判的な従業員が多い場合や、セキュリティ対策になるべくコストをかけないという風潮も目立つ。

　「HROには業務レベルを維持するためのコストや意欲が伴っているが、一般的な企業や組織にセキュリティ対策だけでHROのような仕組みを要求するのは現実的ではない。多種多様な従業員がいる一般の企業や組織は、現実に即したセキュリティ対策を考えるべきだろう」（同氏）

　企業が直面するセキュリティリスクには、ファイル共有ソフトを悪用する「暴露ウイルス」による情報漏えいや、外部の攻撃者によるマルウェア感染、そして悪意を持った関係者による意図的な行為などがある。

　ファイル共有ソフトが関係するリスクの場合、従業員の自宅PCにファイル共有ソフトがインストールされ、そのPCで会社から持ち帰った業務データを処理したり、保存したりしている。PCが暴露ウイルスに感染してしまうことで、従業員が意図せずに情報が漏えいしてしまうが、企業が個人PCにまで対策を徹底させるのは難しい。

　また、マルウェア攻撃者も個人の重要情報が金銭につながるとして、攻撃を本格的に仕掛けるようになった。企業の業績悪化などによる合理化策は従業員の意欲を低下させるだけでなく、個人負債を抱える従業員などが情報の持ち出しといった犯行へ及ぶリスクを高める恐れもある。

　特に意図的な不正行為は、当事者が証拠を隠滅したり、コンピュータのリテラシーが高い場合には操作ログやアクセスログなどの情報を改ざんしたり、抹消する可能性がある。操作ログやアクセスログなどの情報を法的な証明する手段とする環境も未整備であり、当事者が行為を否認すれば、それ以上追及するのが難しいというのが現状だ。

　三輪氏は、こうした一般的な企業や組織に備わる風土とセキュリティリスクの現状から、セキュリティ計画そのものを見直すべき時期に差し掛かっていると指摘する。個々の脅威に合わせて対策を継ぎ足していくという、従来型のアプローチが限界に近づいている。

　セキュリティ対策の再構築で、同氏が重要なポイントに挙げるのがセキュリティコストのポートフォリとシステムや技術の活用である。

　セキュリティコストは、あらゆる脅威に対処するよりも、投資効果を高めることを念頭にして、企業や組織が優先的に対処すべき脅威を基にポートフォリオとして管理することが望ましいという。また、重要な情報資産の保護を人に依存するのではなく、システムや技術で守っていくことも対策の効果を高めることになる。

　「モラルや教育といった対策は終身雇用型の環境に適しているが、人材のグローバル化や流動性が高まればシステム的に対処する方が合理的だろう。セキュリティを前提にしたシステムの使い方を理解させることで組織全体としての対策効果を維持でき、不正行為などの抑止にもつながる」（同氏）

　また、セキュリティポリシーも策定するだけでなく、企業や組織の環境変化に合わせて更新していくことが重要になる。「単に何かを禁止するのではなく、どのように保護するか、また、事故や事件の早期発見や検知、対応などの方法を具体的に記述すべき。人の運用だけに任せないシステム的な対策の利用方法も具体的に記すべきだろう」と述べている。