セキュリティ担当者には想像力が必要Security&Trust ウォッチ(25)

» 2004年07月09日 10時00分 公開
[須藤陸@IT]

 この1〜2年の間に嫌というほど発生したワームのまん延や情報漏えい事件を振り返るたびに、思うことがある。「ああ、エンドユーザーは信用できないな、すべてのユーザーがセキュリティポリシーを守り、きちんとアップデートを行ってくれるなどとは思わない方がいいな」と。

 だが一方では、ここでいうエンドユーザー、つまりは企業システムの運用管理者とは対極にある一般の従業員のことだが、彼ら彼女らとて、何も好んでセキュリティポリシー違反を行おうとしているのではあるまい、とも思う。よほどその企業に恨みを持っていたり、産業スパイなどの明確な目的を持ったりした確信犯でもない限り、「ほんのちょっとの使い勝手」「ほんのちょっとの面倒くささ」故に、結果としてセキュリティ上のすき間を作り出してしまっているのではないだろうか。

 「自宅からアクセスができないのは不便だから、リモートアクセス用機器を置いてみた」「とにかく急いでこの作業をしてメールを送らなければならないのだから、いちいちパッチのアップデートを待ってなどいられない」「とことん作業を監視されるのはまっぴら」……。確かにこれらは、セキュリティの観点からいえばあまり許されるべきではない意見だ。

 ここで彼らを「セキュリティを軽視し、ポリシーを無視する大ばか者」と罵倒し、罰則を与えることは簡単だ。けれど、こうした従業員側のいい分をすべて却下しても、問題が解決するわけではない。また別の、より巧妙な形で吹き出してくるのではないかと思う。

ユーザーのいい分を聞いてみる

 しかし、本当にセキュリティインシデントが発生したときに最後の最後で歯止めを効かせてくれるのも、エンドユーザーだったりする。

 自社を、そして顧客や取引先を守るためにも、セキュリティポリシーの順守は重要なことだ。たびたび指摘されているとおり、社員――正社員だけではなく派遣社員やアルバイトも含め、1人1人がセキュリティの重要性を深く理解するような教育の実施は、企業として欠かせない作業になるだろう。

 だが同時に、従業員側の立場に立って、彼らが何を不便に思っているか、セキュリティ対策についてどんなことを考えているかを知り、それをさらなる対策に反映させていく作業も、決して無駄なことではないと思う。どんどん文句をつけてくる従業員を「歓迎」し、セキュリティ上どうしても譲れない部分と、いい分を聞いて譲歩できる面とのバランスを取り続けることが重要だ。譲れない部分については、システム的に違反を絶対に許さない仕組みを作り上げるなり、被害が起きたときのリカバリや封じ込めを容易にしておく一方で、ユーザー側からのもっともなニーズについては、セキュリティを意識しながら極力応えていく――まさにこの部分こそ、システム管理者の苦悩の源であり、それ故に腕の見せどころでもあると思う。

 セキュリティポリシーの徹底は最優先課題ではあるが、何の批判も許さない上位下達の金科玉条というわけでもあるまい。管理者自身が日々の運用から得た改善ポイントはもちろん、従業員側が一連の体制をどのようにとらえ、何を評価し、何が気に入らないのかを知ってシステムやポリシーに反映させていくことによって、より有効なセキュリティ体制ができるのではないだろうか。

いろいろな立場のシミュレーションを

 私自身も日々痛感することなのだが、日ごろの仕事から離れて、別の人間の立場に立って考えることは非常に難しい。けれどセキュリティをめぐるさまざまな問題は、想像力を豊かにし、さまざまな人の立場に立って考える訓練を行うことで、結構解決できるのではないかと思っている(甘いと思われるかもしれないけれど)。

 一番分かりやすい、そして古典的な例は、「侵入者」の視点から自社のセキュリティ対策を眺め、どこから攻略が可能かを考えてみることだ。WebサイトにしてもWebアプリケーションにしても、通り一遍の対策を施しただけで満足するのではなく、「こんなことができないか」「こんなファイルが丸見えになってないか」とさまざまな角度からチェックしてみることで、かなりの程度、穴をふさぐことができると期待したい。

 まぁ、不正侵入というのは往々にして「思いもよらない」ところを突かれるものだし、人間にはどうしても「思い込み」というのがあるため、いくらその気になったからとて完全にチェックしきれるわけではないのも事実だ。そこに第三者による評価――ペネトレーションテストなど――を受ける意味もあるわけだが。

 エンドユーザーの立場から、自社サイトを眺めてみるのにも大きな意味があると思う。そもそもあなた自身だって、仕事を離れれば1人の消費者。サービスを受ける側の視点から、Webサイトがどんなふうに見え、どんな印象を与えるか。また上記のように不必要な情報が見えたりしないか、自分の情報がどんなふうに取り扱われるか明確になっており、実際適切に扱われているかといった事柄をチェックすれば、事故につながる「芽」を摘むこともできるのではないだろうか。

 これはシステム管理者だけにいえる話ではない。しばしば、セキュリティ対策や個人情報保護対策を実行するのに必要な予算が下りない、上層部の理解が得られない、といった話を耳にするが、そうした人々にこそ、顧客や取引先の気持ちになってじっくり考えてもらいたいものだ。そうすればおのずと、なすべきことが見えてくるはずなのだが(目線が社内やしがらみばかりにとらわれていると難しいかもしれないが)。

 日々の仕事に追われる中ではなかなかその余裕がないかもしれないけれど、折に触れて従業員の立場、顧客の立場、それに悪意ある攻撃者の立場から自社システムとセキュリティの在り方を見直す癖を身につけるのは、けっして無駄なことではないと思う。そしてこれからのセキュリティ担当者には、技術力だけでなく、想像力やコミュニケーション能力も不可欠な要素になってくると感じている。


Profile

須藤 陸(すどう りく)フリーライター

1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。 現在、雑誌、書籍などの執筆を行っている。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。