PR

現場の人を巻き込む

 筆者のお勧めは,やはり(11)の手法である。これが最も当事者意識を育てやすい。

 ポリシーの構築プロセスは,ごく簡単に言えば「情報資産の認識(洗い出し)」「リスク分析」「リスク管理方法の選択」「ルール案作成」「ガイドライン作成」というものだ。その中でも「情報資産の認識(洗い出し)」「リスク分析」には,現場の助力が必須になる。その際,現場のスタッフに時間を割いてもらい,少なくとも自分のいる部署にどんな情報資産があって,それが今どのように管理されているのか,ということを認識してもらうことが重要だ。裏を返せば,現状の管理に潜むリスクを認識してもらうことになるからだ。

 また,洗い出した情報資産のどれを優先的に守るか決めなければならないが(すべてを同じように守るとすると,おそろしくコストと手間がかかってしまう),そのときにその情報資産がなくなったり,壊れたり,盗まれたり,暴露されることで,ビジネスにどれだけインパクトがあるのか,ということも認識することになる。

 言ってみればそこで初めて,セキュリティ関係者が抱いている危機感と,現場の認識が近づいたと言える。もちろん,現場スタッフ全員にリスク分析までかかわってもらうわけにはいかない。巻き込めたとしても,最初は現場の一部に過ぎないだろう。が,その一部の人に自分の部署に戻っていったときに,現時点での危機的状況説について広報・告知・宣伝してもらえる。これが実は大きい。

 ルール作成に現場スタッフがかかわることも大きい。なぜなら,そこで得た知識を現場に持ち帰って宣伝してもらえるし,逆に作成中のルールに対する現場からのフィードバックも期待できるからだ。一部専任スタッフがポリシー・プロジェクトの象牙の塔の中で(皮肉を込めて)独創的に作ったポリシーよりも,実効性の高いルールを作ることができるし,現場も事前情報により心構えができる。さらに,セキュリティ・ポリシーの弱点の一つとして挙げていた「リスクを拾いきれるかどうかは,使う人や作る人の技術力次第」という課題にも対応可能になる。

 自社Webサイトのシステムを作っているスタッフを巻き込めば,公開Webサイトのリスクについて実際的に検討し,かつ認識してもらうことができる。法律などへの対応も同じだ。ただし,それはもちろんポリシー作成チームの内部の誰かがそうした技術的リスクに関する知識を正しく持ち合わせている,というのが前提である。よくあるように総務・人事系のスタッフ,および外部コンサルタントが中心になってポリシーとガイドラインを作り上げ,結果としてテクニカルな視点が欠けてしまったり,あるいはその逆に技術系スタッフだけで作ってしまって,法的なものをなおざりにしてしまう,ということは避けたいところだ。そういう意味ではチーム編成は重要になるだろう(別掲記事「ポリシーチーム編成について」を参照)。

 いずれにしても,調整が難しいとか,期間がかかってしまうなどのデメリットを考慮しても,現場のスタッフを作成に巻き込むことのメリットは大きい。

宣伝効果測定とフィードバック

 宣伝したらその後の効果を測定したい。まずは,アンケートが効果的だろう。ポリシーが周知されているか,というポイントを確認したり,ポリシーへの不満・要望などを無記名で吸い上げる。その回答を分析すれば,どこまできちんと理解されているかが分かるし,改善へのフィードバックも得ることができる。

 また,新たなルール案,改善案を公示し,それに意見を求めるというのも効果測定になる(パブリック・コメント方式と呼ぶ)。元のルールが理解できていなければ,改善案について語ることはできないし,背景となるリスクや目的を正しく認識していなければ有効な代替案が示せないはずだ。

 宣伝手段の(3)のようなざっくばらんなミーティングを持つこともよいだろう。忌憚のない意見を引き出せるような雰囲気が重要で,聞き出す側がセキュリティ・ポリシー教条主義になってはいけないが。

 しかし,生の意見をフィードバックしてもらうのは,やはりポリシー作成に巻き込んだ現場スタッフを経由するのが一番ではないだろうか。同じフィードバックを得るにしても,セキュリティを考える側と業務を考える側の両方の思考ができる,そういうスタッフからのフィードバックが最も効果的だろう。作成のときから巻き込んでおけば,フィードバックを得る道ができていることになる。一度道が通ってしまえばこっちのものだ(笑)。

 せっかく作ったポリシーが現場の抵抗でポシャらないようにするためにも,セキュリティ・ポリシー作成および浸透のプロセスの早い段階から上手に現場を巻き込むことが重要である。

ポリシーチーム編成について

 専門家を含めて編成されたスタッフの中に,例えばクロスサイト・スクリプティング対策を理解している人が一人もいなかったとしたら,どうすればよいのだろうか。結論としては,その企業や団体の中で,最も技術的な知識を持つスタッフがそうした知識を持たない場合は外部に頼むしかない。

 では,外部の誰をどうやって選任すればよいのだろうか。

 例えば,法律系の問題なら法務スタッフや弁護士が頼りになるだろう。ネットワーク・セキュリティを守備範囲にする弁護士も増えてきているし,何より法律の専門家は数が多いのが心強い。これに対して,セキュリティの技術的専門家は数が圧倒的に少数である。その中からどうやって,最新のリスクに対してもきちんと管理策を提言できる人材を見つけ出せばよいのだろうか。

 残念ながら,筆者もこれに対して有効な回答は持たない。セキュリティの技術的専門家の母数が増えてくるまでは,購買側が相手のスペックをある程度リサーチできないとならないだろう。もちろん完全に把握するためには相手を上回る知識が必要となるが,そこまでは無理としても相手が必要な知識を備えていそうかどうか,という見極めはできなければならない。この状況は,しばらくは続くはずだ。

表A●ウォッチしておくべき主なセキュリティ情報サイト

 従って,継続的にセキュリティ情報はウォッチしておくべきだ。この雑誌の読者なら,どこをウォッチすればよいか,いまさら教えてもらう必要もないだろうが,念のために示しておく。表A[拡大表示]の情報源のどれかは最低でも押さえておくべきだろう。

 もし,表Aのような情報源の情報をトレースすることもままならない場合は,セキュリティ監査に頼むしかなさそうだ。ポリシーチームにセキュリティ関連の技術的知識を注入できないときは,実際に監査を受けてみて,今自分たちが公開しているネットワークやサーバーにどんな弱点があるのか,自分たちが利用している社内ネットワークにどんな弱点があるのか,というのをあぶり出すしかないだろう(となると必然的に,監査サービスの質くらいは見極められないとならないということになる)。でなければ,「開発する顧客向けシステムは,顧客情報が外に漏洩しないようになっていること」という条文の基に作られたシステムに,万一弱点があったとしても分からない。

 情報の流通をネットワーク・インフラに圧倒的に依存するようになってしまったために,今やリスクを把握するために技術的知識も不可欠になってしまったのだ。

スタッフへのアピール・ポイント

 業務の改善とか,顧客情報の安全性というもののほかに,ポリシーのアピール・ポイントとなるものがある。それは「スタッフの個人情報」の安全性だ。

 組織が抱える情報資産として,もちろんスタッフの個人情報も例外ではない。当然守らなければならないものだ。「スタッフの個人情報」というものはどうかすると軽視されてしまいがちだが,個人情報が知られたくないところに漏れてしまったために,例えばストーカ被害が起こったり,セクシャル・ハラスメントの原因となることも意外に多いようだ。

 所属する組織に対して提出を義務付けられていることの多い個人情報には,住所,氏名,年齢,学歴(職歴),自宅電話番号や携帯電話番号などがある。このほかにも,組織側が保持している個人情報として給与情報(月額給与,賞与,控除,年金,税金,積み立て額,銀行口座情報など),人事関連情報(職位,査定情報など),その他情報(扶養家族情報,個人資産情報など)がある。組織によって差はあるだろうが,どこもだいたいこのようなものだろう。

 もちろん人事や経理については,昔から厳しい情報管理が行われてきた歴史がある(歴史の浅い,新しい組織ではそこも危うい場合もあるが)。しかし,人事や経理も今やコンピュータなしでの仕事は考えられないし,そうしたインフラの抱えるリスクとも無縁ではない。当然ながら,ここにもセキュリティ・リスクの分析と,それを踏まえたルールや手順の確立が必要となる。人事や経理が抱えるスタッフの個人情報が漏洩した場合のインパクトは,業務上の情報資産に対するビジネス・インパクトのように分かりやすいものではないが,組織にインパクトがあることには変わりないのだ。

 住所や家族構成など,比較的安易にやり取りされがちな情報については,組織ごとに扱いが大きく異なる。だが,その類の情報であってもそれこそストーカやセクハラに結び付くリスクがあるのだ。

 セキュリティ・ポリシーを導入することで,こうした情報についても取り扱い手順が確立され,きっちりアクセス制御することができる。つまり,スタッフに対して「あなたの個人情報も守られていますよ」「あなたの個人情報はこのような手順で安全に取り扱われていますよ」と,アピールすることができるのだ。示された手順を読んで,その手順が適切であればスタッフも安心できるし,逆に個人情報に対する考え方が異なることが読み取れたとしても,そのリスクを踏まえて自衛することもできる。

 ムラ社会的な企業・組織形態が変化しつつある現在,スタッフの個人情報が適切に取り扱われ,防御されているということは,組織として必須の条件になりつつあるのではないだろうか。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。