2021年2月17日水曜日

形だけのセキュリティ対策してませんか?思考停止がインシデントを招きます

新型コロナウイルスの感染が拡大し、働き方にも大きな変化がありました。みなさんの職場では、それに合わせてセキュリティ対策を見直していますか?今回の記事では、セキュリティ対策の目的や効果を見直し続けることの意味を考えてみたいと思います。



環境は変わり続ける

私達は、仕事の時間だけに限らず、プライベートの時間でも、情報システムに接しながら生活しています。以前は、会社のメールは会社だけで送受信できるものでしたが、モバイルデバイスで、移動中にも情報にアクセスできるようになり、最近では、テレワークとして、家庭でも、ビジネスに関わる情報を扱うことが多くなっています。また、利用するサービスも、オンプレミスの社内システムから、クラウドサービスへと、大きく利用形態が変化しています。これからも、様々な側面で環境は変わり続けることが予想されます。

一方で、その変わり続ける環境で扱われる情報は、より広範になっていますし、重要度が高いものも扱われるようになっています。当然、その情報を守るために、様々な情報セキュリティ対策が施されてきました。ただ、その対策は、いつまでも十分と言えるでしょうか。情報システムや、その利用者を取り巻く環境が変わり続けているのに、情報セキュリティ対策はそれに追随できているでしょうか。

常識も変わる

少し前に、「パスワードの定期的な変更」は、非推奨となりました。この件については、このブログでも触れています。長らく有効なセキュリティ対策として、多くの情報システムのパスワードポリシーで取り入れられてきた「常識」です。

また、直近では、「メールの添付ファイルは暗号化し、パスワードは別メールで送る」という「常識」も、覆りつつあります。いわゆる「PPAP問題」です。PPAPについては、名付けの秀逸さもあって、大きく取り上げられましたし、大臣が言及し、政府が全面禁止したり、PPAPを自動化するサービスを展開する企業が禁止に転じるなど、大きな変化がありました。日本のビジネス社会では、マナーとして、「常識」となっていましたが、その常識も変わりつつあります。

ポーズだけの対策になってませんか?

前項で上げた二つの常識とされていたセキュリティ対策は、古くからその効果に疑問の声があがっていました。主にセキュリティの専門家からそのような意見が出されても、大きな組織が採用するセキュリティ対策としては、パスワードは定期的に変えるものだし、添付メールは暗号化するものだとされていました。「常識」として推奨されていましたし、どこでもそうやっていたからです。末端の利用者は、「これって意味ないよね?」と思いながらも(あるいは何も考えずに)、「ルールだから」として従ってきた形です。特に、PPAPは、日本のみの「ビジネスマナー」として、「効果がある」ものとされ、マナーを越えて、ルール化されてきました。PPAPの操作をすることが手間であることから、それを自動化するサービスまで提供され、独自の進化をしたと言えるでしょう。

ただ、よく考えると、その問題点は明らかで、セキュリティ強化の効果が薄く、場合によってはセキュリティインシデントを誘発するものになります。PPAPの問題点については、それだけで一つの記事になりますし、多くの解説記事があるので、ここでは触れません。この記事で考えたいのは、

「実はあんまり効果ないの知ってたけど、ルール化してたよね?」

という点です。「自分はその効果に疑問だけど、世の中的なルールになってる上に、それで良いことになってるから、自分の組織でもルールにしておく」としていませんか。ここで見えるのは、「言い訳のため」、あるいは「ポーズだけ」の対策で、本来見込まれる効果が得られない上に、余計なコストや手間を現場に強いる不合理です。結果的に働く現場の時間を奪い、モチベーションを下げることになっていないでしょうか。問題が起きた時には、世の中的に良いとされているルールを課していたという言い訳をするためのように思えます。

自ら考えることを放棄せず、責任をもつこと

二つの効果がうすいセキュリティ対策の常識が覆ったのは、大きな話題になったり、公的機関が判断を下したことの影響が大きいと言えます。横並びの行動を取りがちな日本の企業にとっては、大きな効果があります。それも隣に揃えただけの考えなしの行動であれば、褒められたものではありませんが、結果的に社会全体のセキュリティに寄与することとなり、悪いことではなさそうです。

ただし、やはり自分で考えることと、その結果に責任をもつことは、全ての側面において大事であると思います。これからも加速するであろう環境に変化に対して、常に自分で考え続けなければ、問題に対応できません。誰かに考えるのを任せて、思考停止し、世の中の常識に囚われたままであれば、重大な問題につながることがあります。その時に「みんながこうやってたから」という言い訳は、意味がありません。

一定の条件を前提として、考えるべき領域を限定することは、パフォーマンスを上げるためには有効な方法です。常に一から全部考えて検証していては、結論に至るまで、時間と手間がかかりすぎます。考えるべき領域を限定することは、その領域について、より深く考え、より良い結果を生むことにつながります。ただ、前提としている状況は、変化していくことがあります。情報セキュリティの分野においては、常に前提が変わっていると考えて良いかも知れません。前提条件が変わっていることを知りながら、そこに連なる思考を改めないのであれば、望まぬ結果を招くことになりますし、責務を果たしたとは言えません。

セキュリティのトレードオフとソリューション

セキュリティ対策と利便性は、相反することが多くあります。ユーザがひと手間かけたり、管理者が運用を頑張ることで、セキュリティを確保しているケースも多いことでしょう。せっかく手間やコストをかけるのであれば、正しくセキュリティを向上させる方法をとる方が良いでしょう。効果がうすいけど、取引先のセキュリティチェックシートで丸をつけるためだけにユーザに手間をかけさせるのは、正しい方法ではありません。その効果に疑問をもつユーザに無力感を抱かせ、モチベーションを大きく損なうことになります。効果がない方策よりも、効果が見込める方策を考え、その結果に対して責任を持つことがルールを課す側の仕事と言えます。

セキュリティを確保したまま、ユーザには手間をかけさせないソリューションは多くあります。弊社が提供する、Gluegent Gateは、IDaaSとして、高い水準でこれらを両立させることができます。また、Gluegent Flowを使えば、テレワークでも安全に業務を進めることができます。ただ、このようなソリューションを導入したとしても、考えずに使っているだけでは、真の意味で、その価値を享受しているとは言えません。今後も状況は変化し続け、どこまで行っても、もうこれで決定版だから、考えなくても良いという状況にはならないでしょう。弊社もサービス・プロバイダとして、様々な状況や考え方に対応できるようにサービスを充実させてまいります。お客様が自分の組織のセキュリティについて、深く考え、対応する支援をさせていただきます。ぜひご相談ください。

(ま)
  Gluegent Gate