オピニオン

情報セキュリティと管理者・利用者教育

先日、ある幼稚園にお邪魔した際に、園児のためのパソコンが設置してあることに驚いた。今や小中学校でもパソコンを使った授業が当たり前のようにあり、携帯電話・スマートフォンを持つ児童生徒は珍しくない。子供たちばかりではない。つい20年ほど前まで「1人1台パソコン」「オフィスのOA化推進」というスローガンが躍っていたことを思うと、昨今のICTインフラの普及には隔世の感がある。

一方で情報の不正利用に関する事件を見聞きする機会も増えた。外部からの攻撃を防ぐセキュリティ製品や、不正を発見するアクセスログ管理製品が、なかなかの盛況を呈していると聞く。

実は情報の不正利用は、極めて単純な方法で行われていることが多い。システム管理者権限の悪用である。管理者は運用や監視を行う職務のため、データやプログラムへのアクセス権限は重要情報を含めた広範囲に及ぶ。ゆえに管理者は、「正当に」情報を取得できてしまうのだ。

管理者権限を複数の管理者に分散させることで、管理者を統制することはできる。管理者を監視する要員を別途任命するようなものである。だが、これは効率性とのトレードオフになる。効率性を犠牲にして統制を厳格化しても、管理者間で結託してしまえば、この統制の効力は簡単に消えてしまう。それでも、そうすべきなのだろうか。

筆者はそれを否定しないが、この種の対処策は「何も生まない情報セキュリティにどこまで投資しなくてはならないか」という壁に、いずれ突き当たる。そのため筆者は、それ以前の施策として管理者から一般ユーザまで、さらには外注者や契約社員も含めて、あまねくセキュリティ/コンプライアンスを教育する方が効果を期待できると考えている（運転免許の更新時講習を考えると、想起されたい)。

卑近な例で恐縮だが、レイヤーズコンサルティング社内でセキュリティ教育を実施すると、社員の行動が目に見えて変化するのを実感できる。意識の高い社員が多くなれば日常的に相互牽制が働き、セキュリティ事故が起こりにくい環境・雰囲気が醸成される。時間がたつと折角の雰囲気が薄れて行きがちなことが難点だが、それは教育の頻度でカバーできる。

では教育の効率性は、どうなのか？セキュリティ/コンプライアンス教育は、企業によって内容が大きく異なるわけではないので、外部サービスの活用が一法だろう。ICTを使ったe-ラーニング、クラウドサービスは数多く提供されている。中にはゲーム感覚で受講できるようにしたり、受講後に何らかの不正が発生した場合には、最高1億円程度を補償したりするものも登場している。企業に限らず、世の中全体のセキュリティ/コンプライアンス教育は、まだまだ不足している。損害保険の活用によるリスクの転嫁を含め、検討に値すると考えている。

株式会社レイヤーズ・コンサルティング
IT事業部 副統括 マネージングディレクター
加藤道隆