GRCコラム

セキュリティを「癖」にする2017.12.4

~セキュリティ対策の運用は組織に属する全ての人で行われる~

セキュリティ・エグゼクティブ・ディレクター 中島浩光

いろいろな所でも言われていますし、過去のコラムでも触れていますが、セキュリティの確保において人的側面が重要になります。最近ではセキュリティ人材が不足しているという話が方々で出ており、セキュリティ対策を構築する、セキュリティ事故の対応を行うといった人材が不足しているのは確かで、なんとかしなくてはいけないのは確かなのですが、今回はいわゆるセキュリティ人材の話ではなく、主にそれ以外の人、一般消費者、システムの利用者、システム運用者と言われる、「セキュリティ担当」ではない人についての話になります。

セキュリティ対策の運用は誰がやる?

さて、セキュリティ対策もいろいろあります。Firewall、ウィルス対策ソフト、ログの統合監視、認証システムなどなどありますが、これらの対策は導入しただけではだめで、導入後の運用が重要になります。Firewallやログの統合監視などはいわゆるセキュリティ担当部門が行うことが多いですが、対策によってはいわゆる一般の利用者の人が「利用」という形で運用の一部を行ってもらう必要があるのです。
例えば、パスワードを利用した認証システムであればパスワードポリシーにしたがって自分のパスワードを作成・変更するといったことをしてもらう必要があります。また、端末のOSやソフトのセキュリティパッチの適用といったことをやってもらう必要もあります。
こうした、セキュリティ対策の運用以外にも、端末を外出先に持ち出す際に注意すべきことや、電子メール等での顧客とのファイルのやりとりなど、利用者側でやってもらうことはいろいろあります。
その意味で、セキュリティ対策の運用はセキュリティ担当部門の話だけではなく、利用者含めた組織の人全体が行っているものなのです。

慣れの問題

このように「利用」という形でセキュリティ対策の運用を行ってもらうわけですが、そうすると利用者側から「面倒臭い」とか「利便性が云々」といった話が出てきます。たしかに、そういった面は否定しません。PC等を利用する際に必要となる手順が変わる、手間が増える、気にしなくてはいけない事が増えるわけですから。
そういった声にどう対応するかですが、私はよく「慣れの問題です」と言い切ってしまいます。
例えば、オフィスの入退室管理で、扉横のセンサーにカードをかざしてピッとやるやつがあります。私が昔所属していた会社でもあり、最初は
・入室時のみカードをかざす。
・出るときは、開錠ボタンを押して出る。
・共連れ可能
だったのですが、ある時入室時も退出時も一人一人カードをかざさなくてはいけなくなり、また、入室記録がないと退室できないという「アンチパスバック」システムに変わりました。たしかに、共連れできなくなりますし、入室時にかざし忘れて閉じ込められる可能性もあるので、導入時はいろいろ文句もあったようですし、実際社員間の雑談等で「面倒臭い」という話もありました。しかし、導入して1ヶ月もたつと、そういう文句はまったく聞こえなくなり、全員このシステムに慣れてしまったようでした。
つまり、入退室管理の利用方法が行動の「癖」としてみについたわけで、多少利便性が悪くなるというのは「慣れの問題」でしかないわけです。

無くて七癖有って四十八癖

このように、利用者側でのセキュリティの運用は利用者の「癖」にしてしまうのが、良いと思うのですが、なかなか難しいところもあります。
入退室管理の例では、強制的にそうしなければ使えないという形だったので、利用者側にも強制的に癖付けさせることが出来たわけです。しかし、「利用者が注意して行う」形の対策、例えば、離席時のPCの画面ロック、メールの誤送信防止対応、不審メールでのメールアドレスの確認等は、強制的に実施させられるものではないため、どうしても「癖にさせる」のが難しい側面があります。

ただ、こういった「利用者が注意して行う」対策の不徹底で起こる事故というのは結構多いのです。そういった事故は「面倒くさい対策をやらなくても大丈夫だろう」というのが原因であることも多いです。そして、それらの事故での再発防止の対策は、「担当者への注意を徹底する」といったような「精神論」しか書いていない場合があるのですが、それでは結局利用者側が「面倒臭い」と思っていることを解決することは出来ていないことが多いです。

では、その「面倒臭い」を「慣れ」にしてしまうにはどうするか?なのですが、1ヶ月か2ヶ月くらいの期間に集中して全員に「とにかくやらせる」ということをお勧めします。このとき、組織の管理職・経営陣が率先してそれらの対策をきちんと実施し、かつ、利用者にしつこく「ちゃんと実施しているか?」をチェックさせ、管理職・経営陣含め全員が対策に向き合ってみると、その期間でその対策を実施することが「癖」になってくれます。
そして、そういった「癖」を多くしていくことが重要だったりします。

GRCコラム一覧へ

pagetop