PR

 「会社で“セキュリティ管理者”などにされている人は,今すぐ辞めたほうがよい。苦労ばかりで評価されない」--。

 あるセキュリティ・ベンダーのセミナーで,講師は開口一番こう述べた。セキュリティ管理者の大変さを訴えるための“つかみ”だったが,いきなりそんなことを言われてしまい,あっけにとられていた参加者は多かった。しかしセキュリティ管理者の苦労を何度も聞かされている筆者としては,大きくうなずくほかなかった。

予算が付かないセキュリティ

 相次ぐクラッキングなどで,日本の企業や組織のセキュリティ意識は確かに高まっている。コンサルタントなどに聞くと,経営層の理解は深まり,「きちんと対策をとらないといけない」ことは認識しているという。しかし,だからといって増員や予算の増額にはつながっていないようだ。しわ寄せは,兼務で任命されたセキュリティ管理者やシステム部にくることになる。要するに,「きちんと対策しろ。しかし予算は増やさない」ということなのだ。

 こんな“理不尽な”ことが起こるのは,セキュリティ管理がほかの業務と大きく異なるためである。何せ,見かけ上はなにも生み出さない。何事もなくて当たり前,問題が生じれば責任だけを問われる。困ったことにマイナス点しか存在しないのだ。「きちんと対策をとっているために何事もない」のか「攻撃されていないので何事もないのか」の違いがハッキリしない。

 ある企業の管理者は,「被害が大事に至らない程度だったら,ぜひ目に見える形で攻撃を受けたい」とぼやく。「いくら説明したところで,実際に被害がないとセキュリティの重要性を分かってもらえないようだ。さすがに攻撃を受ければ,セキュリティにお金をかける気になるだろう」。

 予算が付かない例として,次のような話を聞いた。あるベンダーのコンサルタントによると,ここ2年間で日本企業十数社の社長と話をしたが,「セキュリティだけの案件に予算を付けたことがある社長は一人もいなかった」という。セキュリティ確保に必要な予算は,それぞれのプロジェクトに紛れ込ませてしのいでいるのだという。

 予算がなければ人も増やせない。通常業務にセキュリティ関連の仕事が加わり,管理者は激務に追われることになる。そのため,ベンダーから次々出されるパッチに対応しきれない場合もある。「管理者の激務を考えれば,パッチの適用が遅れても,一概に“怠慢”と責めることはできない」とは,あるセキュリティ・ベンダーの弁である。

 人が少ないために,セキュリティ確保のノウハウが継承されないことも問題の一つである。ある管理者はこう嘆く。

 「一人の管理者がすべてをこなすので,その人以外にはノウハウが蓄積されない。文書化している時間もないので,その管理者が異動などでいなくなると,またゼロからやり直しだ」。組織のセキュリティ・レベルは,いつまでたっても向上しない。

嫌われ者のセキュリティ

 エンド・ユーザー(社内ユーザー)の理解不足も,セキュリティ管理者を悩ませる。一般に,セキュリティと利便性(使い勝手)はトレードオフの関係にある。担当者はできるだけ使い勝手が悪くならないように配慮しながら,セキュリティを高めようとする。しかし,社内ユーザーからは利便性しかみえない。少しでも使い勝手が悪化すると,矢のようなクレームがセキュリティ管理者のもとに飛んでくる。

 社外から社内LANにアクセスするためのRAS(リモート・アクセス・サーバー)にまつわる話を耳にしたことがある。

 RASはきちんと管理すれば問題がないが,杜撰(ずさん)だとクラッカの格好の侵入口になってしまう。そこで各部署が持っているRASを集中管理して,悪用を防ごうとした。しかし部署の担当者は,十分な知識がないのに自分で管理したがった。なかには部署でRASを持っていることを隠したり,「これがないと通常業務に支障が出る」と食ってかかる担当者まで出る始末だったという。集中管理されると利便性が落ちると考えたらしい。

 ウイルス対策ソフトやパスワードについても,なかなか理解が進まない。

 ウイルス対策ソフトでは,「最新のファイルに更新するように」や「常駐させて使うように」と口をすっぱくして言っても,聞く耳を持たない社内ユーザーが多くて困るという。これだけウイルス被害が報道されても,「自分だけは大丈夫」と高をくくっているらしい。

 パスワード管理も似たり寄ったりだ。「高価なセキュリティ製品を導入しても,ユーザーのパスワード管理が杜撰ではなんにもならない」と何度注意しても,パスワードを書いた付箋紙がパソコンに貼り付けられているという。

 そして,あまりしつこく注意したり,「アカウントを取り消す」などと警告しようものなら,激しい抗議にさらされる。守ってあげているはずの“身内”から非難を受けるとは,なんとも報われない。

救いの神はセキュリティ・ポリシー?

 そんな苦境のセキュリティ管理者の助けになりそうな動きが出てきた。セキュリティ・ポリシーの“ブーム”である。セキュリティ・ポリシーとは組織における情報の取り扱いについてのルールや,責任の所在などを明文化した文書のことである。

 あるベンダーのSEは,セキュリティ・ポリシーの“利用法”をこう解説してくれた。

 「セキュリティ・ポリシーを作成する際に,セキュリティを維持するために必要な人員や予算などを盛り込んでおく。そうすれば『ポリシーに書かれているので必要です』と言って,運用のためのお金を引き出せる。渋るようなら,『ポリシーどおりに費用をかけないと,ポリシーを作った意味がなくなりますよ。そうするとセキュリティ・ポリシーへの投資がすべて無駄になりますよ』と迫るのだ」。

 セキュリティ・ポリシーは社内ユーザーに対しても効果を発揮する。今までは,ともすればセキュリティ管理者の“勝手な指示”と思われていたことに,“お墨付き”が与えられる。「セキュリティのために従え」と言われて守らなかった社内ユーザーでも,「従わないと処罰される」となれば話は別だ。

 「セキュリティ・ポリシーは武器になる」という言葉を何度も耳にした。もちろん経営陣や社内ユーザーの理解を得ることが前提だが,セキュリティ管理者はこの武器をぜひ“利用”してほしい。

(勝村 幸博=IT Pro編集)

◎関連記事
[解説]事例で知る,セキュリティ・ポリシー失敗の仕方