一方、“ユーザー視点による最低限のポリシー策定”は、「対策の徹底」という面でも大きな意味を持つという。業務の支障となるような非現実的な施策を押し付けられた場合、ユーザーが施策を守らない可能性もあるためだ。
「例えば、許可したUSBメモリしか使えないようにしたり、ユーザーごとに各情報へのアクセス・持ち出し権限を設定しておいたりしても、ユーザーが業務に支障を感じた場合、そうしたポリシーはいずれ破られてしまう。自分の権限を使って同僚に情報を見せたり、第三者に印刷して渡したりすることもできるためだ。すなわち、セキュリティポリシーは最終的に、情報を作る人間、直接扱う人間の“納得”に委ねられている」(山形氏)
その意味で、「ポリシーは総務部や人事部だけで策定するのではなく、ユーザー自身に考えさせると効果的だ」と提案する。特に、“情報を第三者に渡す”という大前提に基づき、「情報を渡す相手に応じたセキュリティレベル」を各ユーザーに考えてもらうことが重要だという。
「例えば、顧客Aにはファイルの閲覧だけは許可する、顧客Bはファイルを閲覧、印刷するのは構わないが、勝手にファイルをコピーして競合他社に渡されることは避けたいなど、相手との関係性に応じてさまざまなケースが考えられる。上から一方的にポリシーを押し付けるのではなく、各ユーザーの考えを俯瞰(ふかん)すれば、業務の実態に即した、“必要最低限”のラインが抽出しやすくなるはずだ」(山形氏)
例えば、同社のセキュリティ支援製品「EUCSecure」では、ファイルの暗号化機能のほか、「編集・印刷・削除」といったファイルの操作権限を“情報を渡す相手に応じて”ユーザー自身が設定できる。ファイルの操作履歴を記録するログサーバを置くことで、社内においてどのファイルがどう扱われたのか、集中的に監視することもできる。ファイルの暗号化や利用権限設定作業はクリック操作だけで済むという。
同社 SSFCビジネス推進部 グループ長代行 清田幹憲氏は、「セキュリティ対策を徹底するうえでは、実際に業務を行うユーザーへの配慮が不可欠となる。業務を阻害しない範囲内でファイル操作を監視し、情報漏えいを抑止することが大切だ。いかにユーザーの考えを汲み取れるか、負担を掛けないか??ポリシー整備、製品選びの両面で、これらの視点が今後ますます重要になっていくはずだ」と解説する。
一方、山形氏は、「ビジネスは情報を交換したり組み合わせたりすることで進展するもの。情報セキュリティという言葉に踊らされて、多くの企業がそうした認識を見落としている」とあらためて指摘。あくまで情報を使う、持ち出すという前提に立ったうえで、「自社で扱う情報、それを使うことによるリスク、中でも避けるべきリスクを冷静に見直せば、なすべき対策とともに、さまざまな無駄も見えてくるはずだ」とアドバイスする。
Copyright © ITmedia, Inc. All Rights Reserved.