「Nooglerを徹底教育」「悪意ある攻撃は歓迎」――Googleは社内にセキュリティ文化を作る
情報セキュリティの確保が企業にとって急務となる中、従業員がセキュリティについて自発的に考える文化を醸成しているのがGoogleだ。同社のセキュリティ対策の特徴は、徹底した教育とフィードバックにあった。
検索サービスやGmailなど世界有数のサービスを展開する米Google。サービスが多岐にわたり、多数のユーザーを抱えていることもあり、外部から悪意のある攻撃を受けやすくなっている。
同社のセキュリティ対策は、脆弱性をただ修正するといったその場しのぎにとどまらない。従業員が自らセキュリティについて考え、対処するといった文化を組織全体で作っている。
4月24日に開催されたセキュリティイベント「RSA Conference Japan 2008」では、米Googleでエンタープライズセキュリティ兼コンプライアンスを担当するスコット・ペトリディレクターが登場し、社内で実施しているセキュリティ教育の一端を紹介した。
「Noogler」からセキュリティ教育を徹底
Googleでは新入社員を「Noogler」と呼ぶ。同社はNoogler全員にセキュリティ教育を実施する。Nooglerはセキュリティをどのように開発し確保するか、脆弱性にはどう対処するかなどを学び、悪用される可能性が高い脆弱性を検査するテストを受ける。コードを作成すると、複数の従業員でレビューし、性能を評価する。ペトリ氏は「この教育プロセスこそ重要」と明言する。
「従業員にセキュリティに対する自助努力を促す」(ペトリ氏)取り組みも進めている。例えばドキュメント共有ソフトウェアを使ってほかの従業員と文書データを共有する場合、「相手はあなたのチームのドメインではないが、共有してもいいか」という注意を画面に表示する。従業員はデータの共有が情報を外に出すことと同義であると考えられるようになる。Googleでは、業務中に情報セキュリティを意識できる仕掛けを随所に施しているという。
結果として同社は、「コードを書くだけでなく、アプリケーションの振る舞いや発生する脆弱性を理解できる人材を数多く生み出している」(ペトリ氏)という。従業員1人1人がセキュリティに対して何をするべきかを考えられるような土台を作っている。
悪意のある攻撃を歓迎、セキュリティの教訓に
脆弱性への攻撃を受けやすいGoogleでは、これらの攻撃をセキュリティ対策への意識向上に利用している。「外からの攻撃はセキュリティを高めるための教訓ととらえている」――ペトリ氏は言う。
サービスの脆弱性がGoogleに報告されると、修正を即座に反映してサービスを磨き上げる。攻撃のパターンを分析し、セキュリティテストに取り入れ、同じ攻撃を2度と受けないようにフィードバックをする。時には競合であるYahoo!のセキュリティ部門と共同で脆弱性に対処することもある。外部の力も借りて、セキュリティを強固なものにしていく。
「資産の脆弱性を狙った攻撃が企業の内外で起こっている。顧客や従業員、サードパーティーとともにセキュリティを考えなければならない」とペトリ氏は言う。情報セキュリティ対策が急務となる中、率先して従業員のセキュリティ意識を高め、自発的に考えられる人材を育成するGoogleのような取り組みが、今後は必要とされるだろう。
関連記事
- 解釈の誤り? 孫子に学ぶ危機管理の在り方とは
経営哲学で語られることの多い古代中国の兵法家・孫子。だが、日本人は解釈を誤り、特に危機管理では世界の意識と大きく乖離(かいり)しているという。 - 聖火ランナーの警備体制と情報セキュリティの相関関係
聖火ランナーを守る警備がいるように、価値のある情報そのものを厳重に保護する必要がある。今後は、情報を中心にセキュリティ対策を講じることが求められる。 - 1000万ユーザーからの反響がやりがい――ミクシィ
IT業界で働く新入社員の生の声を伝える座談会企画。第3回目を飾るのはミクシィだ。「1000万人の反響にやりがいを感じる」「将来は時間銀行のような概念が生まれる」――枠にとらわれない彼らの発言から、ミクシィがはぐくんでいる企業文化が見て取れる。 - CIOは情報の格付けを行うべし――企業の情報管理
今回は、4月8日に発表された民間企業18社による企業の情報セキュリティ格付け専門会社設立のニュースを基に、企業の情報管理の在り方について考えてみたい。 - “ユーザー視点”の情報セキュリティ監査、普及のカギを握るのは?
情報セキュリティ監査制度確立のために設立された日本セキュリティ監査協会。そこでは、立ち遅れていた保証型監査制度普及のため、利用者視点での3つのフレームワークが作成された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.