連載
» 2009年07月09日 10時00分 公開

セキュリティ、そろそろ本音で語らないか(8):非常時のために「さらば分厚い規定集」といおう (1/3)

新型インフルエンザの蔓延により、事業継続計画を現実的に考えざるを得ない状況となりました。セキュリティを考慮しつつ事業を継続するために、本当に考えなくてはならないこととは何でしょうか(編集部)

[三輪信雄(S&Jコンサルティング株式会社),@IT]

事業継続計画とセキュリティの悩ましい関係

 ある組織でセキュリティポリシーを見直すことになりました。一般的なオフィス機能を持った3000人程度のIT系商社で、扱う個人情報は、取引先の名刺やメールなどで数十万人程度、機密情報は取引情報や提案書などで、主に営業マンが扱っています。

 セキュリティポリシーを見直すきっかけは、新型インフルエンザの影響でした。自宅作業を前提としなければならず、現在のポリシーでは対応ができなかったからです。このような、新型インフルエンザに対応するための、自宅での作業を前提とした事業継続計画(以下、BCP)対応はほかの企業でも急ピッチで進んでいるようです。

 これまでBCPの対象とされてきた、首都圏直下型地震をはじめとする地震対策では、安否確認が主な対策で、その先は出たとこ勝負、といったものがほとんどでした。何がどの程度の規模で壊れて、誰がどの程度生き残れるか、そして取引先の被災など、考えれば考えるほど前提の幅は大きくなります。そのため、最悪のシナリオを設定すると「どうしようもないよね」「時間をかけて他社の動向を調査しよう」といった結論になってしまいがちなのです。

 しかし、新型インフルエンザはある程度の予測ができます。地震と違って、いつ来るか分からないというものではなく「今度の秋には来そうだ」という差し迫った問題なのです。事実関係は不明ですが、「強毒性に変化するらしい」とか、「空気感染するタイプに変化するらしい」とか、「鳥インフルエンザも同時にやってくるらしい」などと、不安をあおる報道もあります。

 冷静に考えても、最近問題となった新型インフルエンザは、日本の湿度と気温上昇の影響によって感染者は減少するでしょう。しかし、夏バテによる体力低下と、湿度の低下とタイミングが重なると、今度こそパンデミックの段階に突入するかもしれません。

 同じように考えている多くの組織で、自宅勤務を前提としたBCPが急速に策定、準備されつつあるようです。この動きは、大企業に始まり、その取引先である中小企業に広がるのは時間の問題でしょう。

新型インフルエンザがもたらす「リモートアクセス」への渇望

 現在多くの企業でとっている情報セキュリティ対策には、「ノートパソコン持ち出し禁止」「私物パソコン持ち込み禁止」「USBメモリ使用禁止」「自宅での私物パソコンでの業務禁止」などの項目が当たり前のように含まれています。この原稿を書いている新幹線には、コンセントや無線LANがあるにもかかわらず、ノートPCの利用者はあまり見かけません。情報漏えいが騒がれる前の一昔前なら、カタカタとキーを叩く音で眠れないくらい、みんな使っていたものでした。

 ところが、急に新型インフルエンザの影響でリモートアクセスの必要性が高まり、各社は慌ててソリューションを模索しています。シンクライアントソリューションも、このときとばかりに営業強化されているようです。確かにコストが十分にかけられるのであれば、シンクライアントを各自に配布して、社外でもオフィスと同様の業務ができるように整備するのも1つの方法です。が、シンクライアントの最大のコストは、サーバ構築費およびその維持費です。そのため一度シンクライアントにすると、通常のシステムに戻ることは非常に困難で、総合的なコストを考えると、現実的には不可能に近いでしょう。

 一方、自宅で業務を遂行するためには、会社支給のPCか私物のPCを使う必要があります。しかし、持ち歩きPCを禁止にしてしまった企業では、貸し出すためのPCをいまさら買いそろえるには相当のコストがかかります。しかも、会社で支給したPCに相応のセキュリティ対策を施すためには、一般的に売られているソリューションを導入すると、1台あたり2〜3万円程度の追加コストがかかるでしょう。

 そこで前出の企業では、「自宅の私物PC」を活用するように検討が進められています。一般的には「私物PCからの情報漏えいが最も危険」といわれており、Winnyに代表されるPtoPソフトの利用によるウイルス感染からの業務ファイルの流出がよく例に出されます。

 しかし、コストも時間もない、という状況下では、ある程度のリスクは許容しつつ、そのリスクを最小限にしながら現実的な解を模索することこそ、「リスク管理」なのではないでしょうか。セキュリティ専門家は「それだとこれが危ない」「このリスクがあるからダメだ」と完ぺきを求めがちで、実績のある手堅い方法しか提案しない傾向があります。

 私は自宅の私物PCであっても安全に業務が遂行できる可能性はあると考えています。もし、ある程度のコストがかけられるのであれば、ローカルの保存装置に一切保存させないような、疑似シンクライアントのソリューションも手に入ります。この疑似シンクライアントであれば、画面のハードコピーもキーロガーも外部記憶媒体へのコピーも印刷も制限しながら、ウイルス感染の事前確認までできます。このための専用のサーバ構築は必要ありません。このようなシンクライアントの欠点をカバーするような製品も出始めており、実用化の評価が進んでいるところです。

 ただし、疑似シンクライアントとはいえ、PC1台あたり1万円程度のコストは見込まなければいけません。1000台で1000万円ものキャッシュと導入するためのシステム部要員の負担は覚悟する必要があります。

Index

非常時のために「さらば分厚い規定集」といおう

Page1
事業継続計画とセキュリティの悩ましい関係
新型インフルエンザがもたらす「リモートアクセス」への渇望

Page2
キャッシュがなくてもセキュリティは工夫次第
平常時にも使える非常時対策

Page3
災害対応BCPと新型インフルエンザ対応BCPの決定的な違い
来るべき日のために必要な「シンプルなポリシー」
いまこそ、分厚い規定集を捨てよ


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。