中堅企業には中堅企業ならではのセキュリティ対策を:セキュリティ、そろそろ本音で語らないか(5)(2/3 ページ)
大企業のセキュリティ対策はほぼ完了、次はSMB市場だとセキュリティ業界はいいます。果たしてSMB市場のセキュリティ対策は、「大企業に導入した製品の廉価版」を入れるだけでいいのでしょうか。第5回では中堅企業のセキュリティ対策を“三輪節”で解説します(編集部)
「モバイルデバイス持ち歩き厳禁」しか対策はないのか
ノートPCの持ち歩きは「諸悪の根源」という見方が多いのですが、一概にそうともいえません。例えば、ノートPCを持ち歩き禁止にしても仕事のノルマが変わらず、さらに残業規制まで行うと、社員はなんとかして情報を自宅に持ち帰ろうとします。自宅へファイル添付で送ったり、USBメモリであったりWebメールを使ったり、ファイル転送サービスを使ったりするのです。
ところが、自由にノートPCを持ち歩けるが情報の取り出しはできないようにするか、情報は揮発性があるメディアに格納するシステムにすれば、社員はわざわざ情報を持ち出さなくても、そのノートPCで作業ができ、かつ情報漏えいが起こりません。また、シンクライアントのようなコストもかかり動作も重いシステムを使わなくても、前述のような要件を満足する製品がすでにあるのです。
USBメモリも多くの企業で禁止にされていますが、最近はいろいろなメーカーからセキュリティ対策をうたった製品が売り出されています。さまざまな方法でセキュリティ対策が実装されているので、価格と機能をよく検討すれば、それらを利用する価値はあります。
USBメモリのセキュリティ対策としてある会社が「首からぶら下げる」を実施しています。しかも普通のメモリです。暗号化もされていません。一見すると暗号化もしていないUSBメモリなんて、と専門家が笑いそうな対策ですが「お金をかけないで紛失のリスクを軽減する」という要件は満たしています。暗号化USBメモリを導入するには、事前の調査、購入、社員への周知、既存PCへの導入など多大なコストがかかるのです。
自分もセキュリティ専門家ではあるのですが、なんでもかんでも“セキュリティ至上”という考え方は、正直疑問に思うこともあります。経営も人生もリスクが前提ですから、情報だけそんなにガチガチにしなくても、と感じることもあります。
先の首から下げるUSBメモリですが、なまじ暗号化して安心してしまううえにコストがかかるような対策と比べて劣っているでしょうか。確かに、大企業がそんなことをまじめにやっていたら笑いの種にされるでしょうが、数十人の中小企業ならおかしくないと思います。
「気を付けて持て」というセキュリティ対策
また、最近お話しさせていただいた会社ではノートPCを「気を付けて」持っています。それだけです。HDDの暗号化もシンクラアイントもWebシステムもありません。メールはPOPでアクセス。初めてその会社を訪問したときには驚きましたが、その会社はある情報漏えい事件を契機に持ち出し禁止にしました。社員も情報漏えいの恐ろしさをわがこととして身に染みたのです。
ところが、しばらくすると仕事に大変影響が出ることが分かったのです。営業マンはノートPCが使えないので、会社にこもるようになりました。顧客のメールに対応しなければならないのと、会社に戻って日報を書くのが面倒だったのです。しかも夜遅くまで残ることも増えました。資料作成をしなければいけないからです。営業マンのモチベーションも徐々に下がっていき業績も悪くなります。そこで社長が一念発起していったのです――「気を付けて持て」と。
驚いたのは社員です。「情報漏えいが起こったらどうするのだろう」と皆が思ったそうです。でも、よく考えてみたら「自分たちが」なくさなければそれでいいのです。それに社員たちは以前の情報漏えい事件で怖さが身に染みていますから、いまさらセキュリティ教育は必要ありません。
そんな会社でも宴会のときには極力ノートPCを持ち歩かないようにしていますし、よく酔っ払う社員にはかばんを持たせません。足元に大事に置いてありますし、電車でも網棚には置きません。やはり社長の「命がけで持て」という言葉が浸透して立派なセキュリティ文化が出来上がったのです。いつまで続くかはこれからの課題ではありますが、1円もかけずにセキュリティ対策を敢行した例です。
いかがでしょうか。セキュリティ対策というと暗号化や大掛かりな管理システム、ログとの戦い、24時間監視、と思い込んでいませんか。確かに、気を付けてもウイルスやハッカーの攻撃は防げませんから、それらの対策は欠かせませんが、「うっかり」というリスクは小さな会社や組織であれば「命がけで気を付ける」もアリかもしれませんね。
Copyright © ITmedia, Inc. All Rights Reserved.