連載
» 2011年03月18日 10時00分 公開

セキュリティ、そろそろ本音で語らないか(19):自宅作業時のセキュリティを考える (1/2)

計画停電の影響で、多くの企業が出社制限や自宅待機を行っています。急な自宅作業を余儀なくされたこんなとき、セキュリティ対策はどのようにあるべきなのか、考えてみましょう(編集部)

[三輪信雄(S&Jコンサルティング株式会社),@IT]

計画停電で避けては通れない自宅作業

 ご存じのように計画停電によって大きな社会的な影響が生じています。しかも、この計画停電はいつまで続くのか、先が見えない状況といえるでしょう。大急ぎで火力発電所などを復旧したとしても、今度は夏の大需要期がやってきます。そのときの供給計画は明らかにされていません。

 まして、これから復旧フェイズに入っていくためには、現在以上の電力が必要になります。従って、計画停電や節電はこれからも長く続く、と覚悟した方がいいでしょう。数カ月、あるいは1年以上この状態が続くかもしれません。火力発電所も周波数変換設備もそんなに簡単に作れるものではないからです。

 現時点では、都内でも多くの企業が出社制限や自宅待機を行っています。事実、都心の地下鉄はとても空いています。かなり多くのビジネスマンが「出社していない」ものと思われます。

 でも、いつまでもそんなことを続けるわけにもいきません。当然ながら「自宅作業」も避けて通れないでしょう。もちろん乗り換えや徒歩など大変な思いをしてでも出社しないといけない社員もいますが、多くの社員は自宅での作業が可能なはずです。

震災後数日で、大量のPCと情報が「持ち帰り」に

 例えば「週に4日は自宅作業として、1日だけオフィスに行く」という選択肢もあり得るでしょう。これは震災前には少し進んだ一部の企業が取り入れていた手法であり、テレビや雑誌で紹介されていた方法です。

 計画停電によって、その自宅作業が一気に現実のものとなってしまいました。Twitterのつぶやきを見ていても、多くの方がパソコン本体やデータなどを持ち帰っている様子がうかがえます。

 一方で、これまで情報漏えい対策として「ノートパソコン持ち出し禁止」「USBメモリ使用禁止」を掲げていた会社は少なくなく、むしろ多数派であったはずです。このようなルールを適用していた企業は、この危機をどのように乗り切ろうとしているのでしょうか。

 Twitterを見ていると「とりあえず業務ファイルをUSBメモリにコピーして、申請して承認された、これでよし」などと書かれているものを見かけます。

 多くの「情報持ち出し禁止ルール」に依存している企業では、「例外規定」なるものが存在していて、「例外的に使用する場合には申請して承認を得ること」という決まり文句が書いてあることが多いのです。これはむしろ、例外的な措置を生じさせたくないための「牽制」です。日常的に例外が生じるような事態は想定していなかったのです。

 それが急に、震災と計画停電によって、「例外措置が日常」になってしまいました。例外措置を承認する責任者も「セキュリティポリシーどおりにちゃんとやっている」と考えるでしょう。その結果、いま、大量の業務ファイル(業務に関係のある書類)が大量に申請して承認され、堂々と自宅に持ち帰られているのです。

 震災後数日でどれだけの業務ファイルが自宅に持ち帰られたことでしょう。そしてこれからさらに多くの業務ファイルが自宅に持ち帰られることでしょう。

 この状況下で情報漏えいを抑える手段とは何でしょうか?

 シンクライアント端末であればセキュリティ機能が設定されているので、カメラで画面を撮影しない限り、情報漏えいの可能性は極めて低いものになります。しかしながら、自宅で使うとなると十分に時間があって他人の目がないわけですから、高精細デジカメで撮影してOCRで文字認識させることも可能になってしまいますし、図面であれば撮影するだけで十分です。

 持ち出しPCのセキュリティ対策というと「シンクライアントが安全である」といわれます。けれど、本気で情報漏えいを企てる人に対しては絶対的なソリューションではないのです。

現実を見据えれば「そこそこのセキュリティ」でも

 情報セキュリティの中でもITに関しては、「絶対に漏れないこと」が要求されがちです。

 けれど情報は人間の口からも漏れますし、転職すれば企業の重要なノウハウも簡単に流出します。あるいは、営業マンなら得意先のリストを持ち帰ったり、名刺のコピーを持って転職することもあるかもしれません。

 つまり、いろいろなところから情報は漏れてしまう、あるいは漏れている、というのが現実です。そして、その現実とは別に、ITに関しては「絶対に漏れないこと」を求めてしまうのです。

 しかも日本では建前も重要視されます。そこで出来上がるのが「禁止ルール」です。「絶対に持ち出さないこと、というルールを定めてあるから絶対に漏れないのだ」と思い込んでしまうのです。あるいは、その禁止ルールを作っただけで対策をしたことにして、それ以上の実効的な対策は行いません。でも例外があるから、例外規定だけは作ってしまうのです。

 現実には、企業の業務に関する情報はある程度は漏れています。完全に漏れないようにすることはそもそもできないし、できていないのです。

 もしそうであるならば、「そこそこのセキュリティ」でもいいはずです。利便性と生産性を向上できるのであれば、そこそこのセキュリティでもいいのではないでしょうか。

Index

自宅作業時のセキュリティを考える

Page1
計画停電で避けては通れない自宅作業
震災後数日で、大量のPCと情報が「持ち帰り」に
現実を見据えれば「そこそこのセキュリティ」でも

Page2
「絶対に守るべきもの」と「そうでないもの」の分類を
実効性を持つ「把握」と「消去」がカギ
リモートデスクトップも有効
クラウドサービス利用時の注意点


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

       1|2 次のページへ

Copyright© 2018 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。