PR

 セキュリティ対策を強化すれば,結果としてユーザーの自由がある程度制限される。おそらく,どんな現場でもこれを避けられはしない。「やってはいけないこと」はもちろん,従来は不要だった「事前に手続きしなければならないこと」が確実に増えるだろう。ユーザーは窮屈な思いを募らせている。

 ユーザーはそこに大なり小なり不満を感じてはいるものの,セキュリティの重要性が利便性より優先されることはおおむね理解している。少なくとも,理解しているようではある。よって,そうした不満は表立った声としては出てこない。

 ただし,セキュリティを重視するがために,あまりに窮屈なセキュリティ・ポリシーを振りかざせば,いずれはユーザーの“反乱”を招きかねない。現場でこっそり抜け道を作り出し,セキュリティ・ポリシーを骨抜きにしてしまうだろう。

 そんな不安は,既に現実のものとなっている。シリーズ最終回は,水面下で増えている「ポリシー破り」の実態をレポートする。

邪魔な全スキャンから逃れる

 ある会社のマーケティング部門に属し,忙しい毎日を送る倉又氏は,仕事が最も集中していたときにウイルス騒ぎで作業を中断せざるを得なかった苦い思い出を振り返る。

[画像のクリックで拡大表示]

 部署の誰もが残業続きで疲れきっていたある晩,同僚のA氏のPCから,明らかに異常を知らせるビープ音が鳴り響いた。そのときA氏は不在だったため,何事かとA氏のPCをのぞき込んでみると,どうやらウイルス対策ソフトが警告を発しているようだった。

 周囲にセキュリティに詳しい人がいなかったため,「ウイルス感染か?」とその場にいた全員が緊張した。

 慌てて各自がウイルス・スキャンを開始し,自分のPCがウイルスに感染していないことを確認した。しかし,スキャンの最中はPCの動作が極端に遅くなり,結局,仕事を再開するまでに2時間以上もかかってしまった。

 A氏は自称PCマニアで,自宅ではPCの自作も楽しんでいることは知られていた。PCに詳しいことをひけらかしたり,PCに詳しくない周囲の人を小馬鹿にするような言動をするタイプで,会社のPCも勝手にカスタマイズしたりと,ちょっとにらまれている人物だった。ウイルス対策ソフトも会社指定のものではなく,セキュリティ・ポリシーに反して,自分で購入したソフトをこっそりインストールしていた。

 そんなA氏のPCが引き起こしたウイルス騒動だけに,「会社のルールを破って,自分勝手なことをするから,こんなことが起きるんだ!」と,もともと周囲からはよく思われていなかったA氏への風当たりはますます強くなった。

 しかし,「ウイルス対策ソフトを入れ替えてしまったことに関しては,A氏の気持ちも分からないではない」と倉又氏は考えている。同社では,毎週決められた曜日の昼休み,ちょうど正午にPCの全ドライブに対するウイルス・スキャンを実施するよう定められている。会社指定のウイルス対策ソフトはあらかじめそのように設定されており,ユーザーは勝手に変更できない。

 ところが,昼休みといっても,正午になったからといって急に仕事の手を止められるわけではない。PCで作業していると,スキャンが始まったとたん,PCの動作が重くなる。全ドライブをスキャンするのですぐに終わるわけではない。

 「正直,この設定は勘弁してほしいと思っていた。誰も表立って会社に文句を言ったりはしていないが,皆もそう思っているのは間違いない」と倉又氏は顔をしかめる。

 これを嫌ったA氏は,自分で購入したウイルス対策ソフトをPCにインストールして,「全ドライブ・スキャン」を回避していたというわけだ。A氏は他の社員が鈍い動作のPCにいら立っている間,涼しい顔でPCを使い続けていたことになる。その行動は鼻につくものの,そうしたくなる気持ちは多くの社員に共通していた。

 倉又氏の話を聞く限り,A氏のPCから発せられた警告音は,おそらくウイルスが添付されたメールを受信したことに起因していると思われる。決してA氏のPCがウイルスに感染したわけではないので大目に見てあげたいところだが,やはりセキュリティ担当者としては,A氏の身勝手な行為に対し,厳しい態度でポリシーの徹底を求めるべきである。

 とはいえ,このケースではA氏を身勝手な行動に駆り立てた不満そのものにも目を向ける必要がある。倉又氏やA氏のPCは,全ドライブ・スキャンが始まるとPC全体の処理が重くなってしまう。

 こうした小さなことであっても,「ポリシーに窮屈さを感じれば,必ずそれを破ろうとする人がいる」という点を十分に意識すべきだろう。このケースではA氏1人の問題で済んだようだが,同じようなポリシー破りが別の人によって行われているとも限らない。その人数が多ければ,もっと面倒な問題に発展していたかもしれない。

 このような行為を発見したら,もっと厳しいポリシーや技術的な対策をと考えるセキュリティ担当者もいるだろう。しかし,もしかするとそれはかえって,逆効果になるかもしれない点には注意が必要だ。