2018年3月6日火曜日

情報セキュリティ担当者が感じる漠然とした不安とは?

このブログを読んでいただいている方の多くは、一定以上の人数が所属する組織のシステム管理者など、社内システムについて責任を持っている場合が多いでしょう。皆さんは、常に自社の情報が安全と言えるのかという不安を抱えていると思います。数万人規模の顧客情報の流出がニュースで流れることも日常的と言える状況では、自社のセキュリティが、十分な水準に保たれているのか、定期的に考察する機会を持つことは大事です。この記事では、そこに焦点を当ててみたいと思います。

現場に適用可能で、安全だといえる水準はどこか

情報セキュリティについて突き詰めていくと、セキュリテイの高さと実用性が、時として相反するように感じることがあります。以下のような例です。
  • 現状:IDとパスワードの組み合わせで認証する
  • セキュリティ強化後:IDとパスワードの組み合わせと他要素で認証する。
他要素認証を追加することで、パスワードが流出しても、不正なログインを防ぐことが出来ます。ただ、日々の運用では、もうひとつの要素の認証が増えることで、「面倒だな」と感じることもあります。 このように、利便性や実用性とセキュリティの高さは、相反することが多く、情報セキュリティを担当する方は頭を悩ませることが多いでしょう。それなりの規模になると、利用者のITに対する習熟度は大きく異なります。場合によっては、IDとパスワードがやっとで、他要素認証を導入することで、多くの社員がログインできないというようなこともあるでしょう。ただ、本来、情報システムは、本来の仕事でより効率的に価値を出すために使われるべきツールです。それをセキュアに使うために、情報システムの一定以上のスキルが求められるのでは、本末転倒です。
そのため、世の情報セキュリティ担当者は、高いセキュリティを実現したいと思いつつ、自社の社員にはどのような使い方が可能かどうかを悩むことになります。

カスタマイズ性の高いセキュリティ機能

弊社では、セキュリティに寄与するサービスとして、Gluegent Gateを提供しています。Gluegent Gateは、SSOの認証を担うことで、対象のサービスに対するアクセス制御を可能にしています。アクセス制御の方式は多種多様で、IPアドレス制限や、時間帯による制限、端末や証明書による制限などが可能です。また、これらの多様な制限をActive Directory等のディレクトリサービスで定義するグループに対して適用することができます。大きな組織でも、適切なアクセス制御を適切な人に対して適用することが可能です。アクセス制御の高いカスタマイズ性は、Gluegent Gateの特徴の一つです。

チェンジマネジメントが必要

認証方式が変わるようなユーザインタフェースの変化は、利用者にとっては大きな障壁になります。利用者にとっては、セキュリティの高さに伴う操作の変化や手順の追加は「面倒なこと」でしかありません。利用者は自分がセキュリティ事故を起こすとも思っていませんし、情報を漏らそうという意図もないのに、余計な手間を増やされることに反感を持ちます。
そのため、情報セキュリティに責任をもつ担当者は、利用者全員に、情報に対するセキュリティを高く保つことの意味と、そのために「ちょっとだけ」手順が追加されることを教育・周知することになります。
ここでも、その手順の追加が「ちょっとだけ」なのか、そうでないのか、現場の状況ごとに異なるものと思いますが、考慮にいれるべきことや、注意しておくことは、多くあります。
  • ユーザインターフェイスの変化はどの程度か
  • セキュリティはどの程度強化されるのか
  • 利用者が受け入れ可能か
  • 利用者はセキュリティの強化に関心があるか
  • 展開に意思決定者の関与が望めるか
  • 展開後のサポート体制はできているか
ここで挙げたものは、一般的なものです。展開をスムーズに出来なければ、結果的に目的を達成できない場合や、生産性が下がる場合もあります。そのため、変化することについて、様々な要素を考慮し管理していく必要があります。

継続的な見直しと改善が必要

変化を十分に管理して、現場のセキュリティを向上させたとしても、それで十分でしょうか。現場の意見を尊重して、諦めた要素はないでしょうか。セキュリティ強化だけでなく、業務の改善のために、よく言われるのは、PDCAでしょう。情報セキュリティについても、同様のことが言えます。
運用を頻繁に変えることは、いたずらに現場の士気を下げ、価値が失われることにつながりますが、世の中のセキュリティリスクは、常に変化します。コンピューターウィルスや、不正ログインのような単純な脅威から、マルウェアやランサムウェアなど、新たな脅威が出てきていますし、今後も変化するでしょう。セキュリティ担当者は常に自社のシステムや運用がこれらの脅威に対して十分なレベルに保たれているか、注意する必要があります。そのため、やはりPDCAサイクルを回して、チェックと改善が必要になります。

不安と楽観

前述したように、世の中の脅威は変化します。かくして、タイトルに書いた通り、「漠然とした不安」を抱くことになりますが、担当者は自社のセキュリティのどこに問題があって、どこのような脅威に対応できているのかを認識している必要があります。少なくとも、「漠然とした」ものではなく、「はっきりとした」不安を持っていることが安全側ではないでしょうか。また、不安も感じずに、無邪気に大丈夫だと「楽観」することがもっとも危険であると考えられます。「自社のユーザは、意識が高いから大丈夫」とか、「前任者がセキュリティ対策しているから大丈夫」と考えていませんか。今施している対策が有効なのかどうか、どのような脅威に対するものなのか、再度考察することは意味があることだと思います。

漠然とした不安を聞かせてください

私達はお客様から「漠然とした不安」を聞いてきました。その度にお客様と一緒に、どのような方策を取るべきなのか、どのような機能で、どのような脅威に対処するのかを考えてきました。私達は多くの機能でお客様の情報を守るお手伝いをしています。中には私達が提供する機能では、対応できない脅威もありますが、それも包み隠さずお話して、その上でどのような対策が可能かを一緒に考えることはできます。不安を抱えているお客様は、まず一度ご相談いただければと思います。
また、楽観している方も自社のセキュリティ状況を一度確認してみることをおすすめします。その上で「まずいかも」というような漠然とした問題意識を持った方は、ぜひ、ご相談ください。

   Gluegent Gate