利用者の“納得”に基づく必要最低限の施策を：特集：セキュアなドキュメント流通を目指して（4）（1/2 ページ）

業務とセキュリティ対策の両立を図るうえで、成否を分かつカギとなるポリシー策定。リスクを重視するばかりに「とにかく制限を掛けておけば安心」と考えがちだが、インテリジェント ウェイブはそうした昨今の風潮に警鐘を鳴らす。

[内野宏信，＠IT情報マネジメント編集部]

「とにかく制限を掛ければ安心」と思考停止しているのでは？

　個人情報保護法や、近年多発した情報漏えい事件を受けて、多くの企業が情報セキュリティ対策に乗り出している。しかし経済情勢が悪化した昨今、業務効率化やコスト削減とセキュリティ対策の両立に悩むケースが増えた。

　こうした状況に対して「情報セキュリティとは何か、もう一度、冷静に考え直すべきだ」と指摘するのは、文書ファイルの暗号化機能などを持つ情報セキュリティ製品「EUCSecure」を販売しているインテリジェントウェイブ 事業推進担当 部長の山形浩一氏だ。

　「個人情報保護法の遵守や情報漏えい対策は確かに重要だ。だが昨今の状況をみていると、ベンダ、コンサルタント、ユーザー企業のそれぞれが、“情報セキュリティ”という言葉に対して過剰反応しているように思う。大半の情報はビジネスを遂行するために“使うもの、伝えるもの”であって、しまっておくためのものではない。この大前提を忘れて、“とにかく強固な制限を掛けておけば安心”とばかりに、思考停止しているのではないか」（山形氏）

　そんな思考停止のために、実際に多くの企業ではたくさんの喜悲劇が起こっているという。例えば、「自社ではどんな情報を、どう扱うのか」といったセキュリティポリシーを定義しないまま、ベンダやコンサルタントのアドバイスをうのみにしてあらゆる情報に制限を掛け、その結果、業務効率を著しく阻害してしまう。ポリシーや、それを徹底させるためのセキュリティ体制を考慮しないままに“とりあえず”とばかりに多機能で高価なセキュリティ支援ツールを導入し、そのうえ、いつまでたっても「ポリシー設定がデフォルトのまま」であったり、「USBメモリの使用は制限したが、電子メールのファイル添付は野放し」などちぐはぐな運用に陥ってしまう??。

　「情報とはビジネスを遂行するうえで不可欠なもの。それを止めた瞬間からビジネスは停滞してしまう。すなわち、セキュリティ対策は『情報を安全に使うためにはどうするか』と考えるべきであり、『とにかく制限を掛ければ安全』というものではない。企業は多くは、“セキュリティ対策のためのセキュリティ対策”という本末転倒の状況に陥っているのではないか。安全に使うため、伝えるための対策だという大前提を思い出すべきだ」 （山形氏）

情報を使うことを前提に、“必要最低限”の施策を

　では、セキュリティ対策を考えるに当たり、具体的にはどのような点に留意すべきなのだろうか。山形氏は2つのポイントを提示する。

インテリジェントウェイブ 事業推進担当 部長の山形浩一氏

　1つは「ユーザー視点でのポリシーの定義」だ。一般に、ポリシーは総務部門や人事部門などが一括して策定する例が多いが、「業務効率を阻害しないためには、情報の直接の作り手、使い手であるユーザーの考えに十分に配慮して検討すべきだ」という。

　例えば営業スタッフなら、顧客企業の担当者に見積もりや資料を提供する必要がある。よって、重要ファイルの社外への持ち出しや、メールの添付ファイル送信などを一括して禁止すると業務に支障を来してしまう。従って「『いかに情報を社外に出させないか』ではなく、『情報を社外に持ち出す際、どんなリスクがあるか』と考える。あくまでユーザーが使う、持ち出すことを前提に、自社にとって避けるべきリスクを明確化し、中でも絶対に避けるべきものだけをピックアップして、必要最低限の対策に絞るべきだ」という。

　「例えば、避けるべきリスクが機密情報の漏えいなら、まず部門単位、ユーザー単位で業務で使う情報を明確化し、あらかじめ情報へのアクセス権限を設定しておく。そのうえでノートPCやUSBメモリの紛失、置き忘れによる無関係の第三者への漏えいを想定し、社外に持ち出す全情報を暗号化する、といった具合だ。ただいたずらに施策を用意するのではなく、まずリスクを明確化し、必要以上の手は打たない。ユーザーが普段どおりに仕事ができるよう、不便を感じない範囲の施策にとどめることが肝要だ」（山形氏）

　これが2つ目のポイント、コストとのバランスにも絡んでくる。必要以上にポリシーを定義すると、ポリシーの順守状況を監視したり、セキュリティ支援ツールを運用したりする手間とコストが大幅に増大してしまうためだ。

　「ツールは導入コストだけで済むわけではない。例えば、管理する全クライアントPCにポリシーを一斉適用する機能を持つ製品もあるが、専用のポリシーサーバが必要な場合もあれば、管理するクライアントPCの数が多く、サーバを増やす必要が生じることもある。サーバのI/Oに負荷が掛からないよう、ネットワークの改善が必要になる場合もある。むろん、ポリシーの監視やツールを運用するための人件費も必要だ。こうしたことを考慮せず、ただ対策の強化にのみ注意を奪われていると、ポリシーやツールを運用する手間とコストは加速度的に増加してしまう」（山形氏）

　山形氏は「情報は業務を遂行し、収益を獲得するために使うもの。そしてセキュリティ対策は、情報を安全に使うためのものである以上、収益を圧迫してまでコストを掛けるのは明らかに本末転倒だ」と力説する。