賢いユーザーとフリーメールが作り出すセキュリティの死角―ヒューマン系の対策

● インフォメーション ワーカーの出現

今回は多層防御の上位にあたるヒューマン系の対策についてご説明したい。

21世紀に入ってから頭脳労働者はホワイトカラーではなく“インフォメーション ワーカー”と呼ばれている。この言葉を作ったマイクロソフト社はホームページで「インフォメーション ワーカーとはビジネスの情報を収集、加工、共有し業務プロセスの中で積極的に活用する人」と説明している。

企業のグローバル化に合わせ従業員や雇用形態、勤務形態の多様化が急速に進む中で、インフォメーション ワーカーにとって、場所（自社、自宅、外部のホットスポット）やデバイス（PC、携帯電話、キオスク端末）に関係なくインターネット経由で世界中の自社従業員や顧客とコミュニケーションを取ることは、もはや珍しいことはではないだろう。

グローバル型の典型ともいえる IBM では、1つの部門が1つの国に存在するわけではなく、従業員の約4割は自宅や社外で仕事をしているという。

このインフォメーション ワーカーに欠かせない道具は PC などのデバイスとインターネットであり、彼らの IT リテラシーは非常に高いレベルにある。

それではセキュリティ リテラシーは？というと決して低い訳ではなく、新聞やネットで得られる知識は持っており、自宅でのインターネット利用においてもウィルス対策ソフトを購入する、スパムメールに返答しない、むやみに個人情報を公開しない、といったような護身術を実践していることが多い。


● インフォメーション ワーカーが故のグローバル IT ガバナンスの必要性

しかしインフォメーション ワーカーが大部分を占める企業であれば、セキュリティが万全かというとそうでもない。IT リテラシーが高いユーザーが故のセキュリティホールというものが存在する。例えば、読者のみなさんも以下のような経験の記憶はないだろうか。

1.海外出張時でも会社のメールを開けるように、会社メールをフリーメールへ転送設定する
2.便利なフリーソフトを見つけたら会社で早速使用し、同僚にも勧める

上記行動は、すべてインフォメーション ワーカーとして生産性をあげるための工夫なのだが、セキュリティ対策上は非常に危険な行動である。

昨年の japan.internet.com の調査によると、インターネットユーザーの約65％が2つ以上のフリーメールアカウントを利用しているという。現実的に、メールの転送設定は、フリーメールのプロバイダーのセキュリティ管理や自分のパスワード管理の甘さなどから機密情報が社外へ漏れる恐れがあり非常に危険である。

また、フリーソフト/シェアウェアは、ウィルス感染の危険はもちろん、使用しているプログラムのセキュリティホールを突かれる危険性も高い。世間を騒がせた Winny もこの一種であり、便利な半面どんな副作用があるかはインフォメーション ワーカーといえど予測しづらい。

IT 技術の進歩とともに、脅威や対策も日々変化する。IT ルールを決定する IT 部門にとってはまさにイタチごっことも言えるが、ここで重要になるのがグローバル IT ガバナンスである。

特に大規模な M＆A 後の企業や、インフォメーション ワーカーがグローバルに業務を遂行する企業では、従業員が共通の考え方やルールに従うという前提が成立しにくく、その常識力に判断を委ねることは危険である。そのためグローバルで統一された IT ルールに基づき、全従業員が企業活動を行っていくことがセキュリティ対策上不可欠となる。


● 逸脱している人＝違反者の構図を作り出す

グローバル IT ガバナンスのもと企業活動を行うためには、一人のエグゼクティブ（通常はChief Security Officer）に意思決定権限を集中させることが第一歩である。

また、整備する IT ルールは「セキュリティを守ろう」といった漠然とした内容ではなく、「USB メモリーに機密情報をコピーして社外に持ち出さない」、「会社の業務に個人のメールを使わない」など、禁止事項も含め具体的に列挙することが重要である。

ビジネス上の理由によって例外が認められるものもあるが、通常は認められない。従業員としては、不便を感じることがないというと嘘になるが、全世界で共通のルールというのはシンプルで分かりやすく、『逸脱している人＝違反者』という図式を作り出すことが可能で、グローバル型企業の中でセキュリティホールを作らないためには効果的な方法となる。

巨大で多様な組織になればなるほど、多くの例外が存在する。ビジネス上や地域上の理由から1つの例外を一旦認めてしまうと、多くのものが「例外的に」認められるようになり、グローバル IT ガバナンスは効力を失う。

IT 部門にとっては、「例外を認めないこと」が最大の踏ん張りどころなのである。1日も早く『逸脱している人＝違反者』の構図を社内に作り出し、その上で繰り返し IT ルールを伝えていくことは有効な手段である。

また、IT ルールとともに罰則規定を明確にすることも効果的である。正しい利用の仕方を頭では理解していても、仕事を早く済ませる別の方法があればそちらを選んでしまうのが人間の性である。強制力を持たせるには「このルールに反した場合には懲戒免職」くらいの緊張感も必要であろう。

（AT＆T ジャパン株式会社 サービス企画部部長 渕上うつみ）