この1〜2年の間に嫌というほど発生したワームのまん延や情報漏えい事件を振り返るたびに、思うことがある。「ああ、エンドユーザーは信用できないな、すべてのユーザーがセキュリティポリシーを守り、きちんとアップデートを行ってくれるなどとは思わない方がいいな」と。
だが一方では、ここでいうエンドユーザー、つまりは企業システムの運用管理者とは対極にある一般の従業員のことだが、彼ら彼女らとて、何も好んでセキュリティポリシー違反を行おうとしているのではあるまい、とも思う。よほどその企業に恨みを持っていたり、産業スパイなどの明確な目的を持ったりした確信犯でもない限り、「ほんのちょっとの使い勝手」「ほんのちょっとの面倒くささ」故に、結果としてセキュリティ上のすき間を作り出してしまっているのではないだろうか。
「自宅からアクセスができないのは不便だから、リモートアクセス用機器を置いてみた」「とにかく急いでこの作業をしてメールを送らなければならないのだから、いちいちパッチのアップデートを待ってなどいられない」「とことん作業を監視されるのはまっぴら」……。確かにこれらは、セキュリティの観点からいえばあまり許されるべきではない意見だ。
ここで彼らを「セキュリティを軽視し、ポリシーを無視する大ばか者」と罵倒し、罰則を与えることは簡単だ。けれど、こうした従業員側のいい分をすべて却下しても、問題が解決するわけではない。また別の、より巧妙な形で吹き出してくるのではないかと思う。
ユーザーのいい分を聞いてみる
しかし、本当にセキュリティインシデントが発生したときに最後の最後で歯止めを効かせてくれるのも、エンドユーザーだったりする。
自社を、そして顧客や取引先を守るためにも、セキュリティポリシーの順守は重要なことだ。たびたび指摘されているとおり、社員――正社員だけではなく派遣社員やアルバイトも含め、1人1人がセキュリティの重要性を深く理解するような教育の実施は、企業として欠かせない作業になるだろう。
だが同時に、従業員側の立場に立って、彼らが何を不便に思っているか、セキュリティ対策についてどんなことを考えているかを知り、それをさらなる対策に反映させていく作業も、決して無駄なことではないと思う。どんどん文句をつけてくる従業員を「歓迎」し、セキュリティ上どうしても譲れない部分と、いい分を聞いて譲歩できる面とのバランスを取り続けることが重要だ。譲れない部分については、システム的に違反を絶対に許さない仕組みを作り上げるなり、被害が起きたときのリカバリや封じ込めを容易にしておく一方で、ユーザー側からのもっともなニーズについては、セキュリティを意識しながら極力応えていく――まさにこの部分こそ、システム管理者の苦悩の源であり、それ故に腕の見せどころでもあると思う。
セキュリティポリシーの徹底は最優先課題ではあるが、何の批判も許さない上位下達の金科玉条というわけでもあるまい。管理者自身が日々の運用から得た改善ポイントはもちろん、従業員側が一連の体制をどのようにとらえ、何を評価し、何が気に入らないのかを知ってシステムやポリシーに反映させていくことによって、より有効なセキュリティ体制ができるのではないだろうか。
いろいろな立場のシミュレーションを
私自身も日々痛感することなのだが、日ごろの仕事から離れて、別の人間の立場に立って考えることは非常に難しい。けれどセキュリティをめぐるさまざまな問題は、想像力を豊かにし、さまざまな人の立場に立って考える訓練を行うことで、結構解決できるのではないかと思っている(甘いと思われるかもしれないけれど)。
一番分かりやすい、そして古典的な例は、「侵入者」の視点から自社のセキュリティ対策を眺め、どこから攻略が可能かを考えてみることだ。WebサイトにしてもWebアプリケーションにしても、通り一遍の対策を施しただけで満足するのではなく、「こんなことができないか」「こんなファイルが丸見えになってないか」とさまざまな角度からチェックしてみることで、かなりの程度、穴をふさぐことができると期待したい。
まぁ、不正侵入というのは往々にして「思いもよらない」ところを突かれるものだし、人間にはどうしても「思い込み」というのがあるため、いくらその気になったからとて完全にチェックしきれるわけではないのも事実だ。そこに第三者による評価――ペネトレーションテストなど――を受ける意味もあるわけだが。
エンドユーザーの立場から、自社サイトを眺めてみるのにも大きな意味があると思う。そもそもあなた自身だって、仕事を離れれば1人の消費者。サービスを受ける側の視点から、Webサイトがどんなふうに見え、どんな印象を与えるか。また上記のように不必要な情報が見えたりしないか、自分の情報がどんなふうに取り扱われるか明確になっており、実際適切に扱われているかといった事柄をチェックすれば、事故につながる「芽」を摘むこともできるのではないだろうか。
これはシステム管理者だけにいえる話ではない。しばしば、セキュリティ対策や個人情報保護対策を実行するのに必要な予算が下りない、上層部の理解が得られない、といった話を耳にするが、そうした人々にこそ、顧客や取引先の気持ちになってじっくり考えてもらいたいものだ。そうすればおのずと、なすべきことが見えてくるはずなのだが(目線が社内やしがらみばかりにとらわれていると難しいかもしれないが)。
日々の仕事に追われる中ではなかなかその余裕がないかもしれないけれど、折に触れて従業員の立場、顧客の立場、それに悪意ある攻撃者の立場から自社システムとセキュリティの在り方を見直す癖を身につけるのは、けっして無駄なことではないと思う。そしてこれからのセキュリティ担当者には、技術力だけでなく、想像力やコミュニケーション能力も不可欠な要素になってくると感じている。
Profile
須藤 陸(すどう りく)フリーライター
1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。 現在、雑誌、書籍などの執筆を行っている。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.