第420号コラム:宮坂 肇 理事(株式会社NTTデータ・アイ SDコンピテンシー推進部 部長)
題:「なぜ現場ではセキュリティが難しいのか」

近年は大きなセキュリティ事故が続いている。ちょうど1年ほど前には年金機構、つい最近では大手旅行会社の情報漏えいが発生している。標的型攻撃を広く多くの方が知ることになったのは、5年ほど前の2011年9月頃に防衛関連の情報が委託先から漏えいしたことに遡る。個人情報を含む機密情報等が漏えいした可能性があると報じられた。同年にも衆議院セキュリティ事案、厚生労働省等々と中央官公庁系を狙う標的型攻撃が次々と発生している。企業でも大手企業のセキュリティ事故が発生している。本コラムでは、一向に減らない情報セキュリティ事故の背景として、セキュリティ対策がなぜ現場では難しく考えられているのか、一考察をしてみたいと思う。

情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威2016」(2016年2月15日)の総合順位のトップ3は、第1位は「インターネットバンキングやクレジットカード情報の不正利用」、第2位は「標的型攻撃による情報流出」、第3位は「ランサムウェアを使った詐欺・恐喝」とある。インターネットバンキングの不正送金事件について、警察庁広報資料「平成27年中のインターネットバンキングに係る不正送金事犯の発生状況等について」(2016年3月3日)によると、平成27年中のインターネットバンキングの不正送金事犯の発生状況等は被害額が約30億円超であり、特徴として法人口座被害の増加と、信金・信組/農協・労金に被害が拡大しているという。また、標的型攻撃やランサムウェアによって法人等も狙われており、被害も相当額になっていると考えられる。

法人等の組織、社員等は事故報道や社内報等でセキュリティについては、日常的に目にしており、数年前と比べて意識は高まっていることだろう。企業等もコンプライアンスの必要性から、CISO(情報セキュリティ最高責任者)を置き、セキュリティに関する組織(例えば、CSIRT)の設置、セキュリティ対策の強化を行うところが増えている。日本コンピュータセキュリティインシデント対応チーム協議会(日本CSIRT協議会)の一般会員(チーム)企業が161チームとなった(2016年7月1日現在)ことに表われているように、この2~3年日本CSIRT協議会の加盟数は増加傾向で、企業等がセキュリティに関心が高くなり、セキュリティ対策強化に向けた取り組みを促進していることが伺える。

企業は内外の情報セキュリティに関する要求の高まりから、情報セキュリティポリシーを策定し、セキュリティルールを策定し、規則として制定し、社員等への順守を徹底させている。

このような企業でもセキュリティ事故は発生している。セキュリティ事故の多くは、業務を実施している「現場」で起きることが多い。標的型攻撃も現場の社員等がメールを開封することからはじまる。ファイル流出事故も、業務多忙のため業務時間内では業務を終えることができずに、会社情報を自宅に持ち帰り作業を続けようとすることからはじまる。

では、現場でのセキュリティについての考えをいくつを取り上げてみたい。

・多忙な現場でセキュリティは二の次
・セキュリティ対策は誰かがやってくれる
・自分のところではセキュリティ事故は絶対に起きない
・セキュリティは難しくて分からない

ある組織の現場の責任者と会話した際に、担当者と下記のようなやりとりがあったそうである。

責任者 :「A君、会社PCのパッチをあてることをなぜしないんだ?」
担当者A:「会社PCのセキュリティ対策は時間もかかるし、ソフトウェアが
動かないこともあるかもしれないのでやりません。難しいです。」
責任者 :「でも自宅のPCは、パッチあててるんだろう?」
担当者A:「はい。セキュリティ対策は大切ですから。」
責任者 :「じゃあ、なぜ会社PCで対策しないんだ?」
担当者A:「パッチをあてることで業務が止まってしまうことが怖いからです。」
責任者 :「・・・」

現場は、業務優先であり、月1回のパッチ適用も時間がとれず、さらに、パッチ適用により業務に支障が出ることを懸念している。さらに、セキュリティに関しても詳しいメンバーが近くには存在しないし、相談する人もいない。セキュリティを運営する本社組織からの指示は守らなければならない、板挟み状態になっているのが現場である。そこで、ついつい二の次にしてしまい、放置する状況ができあがるのだ。セキュリティの重要性が浸透しているのにも係らず。

セキュリティ導入時や強化時の設計で大切であることが一つある。セキュリティ導入時等の設計は、脅威から情報を守ることを第一目的として考えてしまう。ところが、現場はセキュリティ導入による業務プロセス変更や業務効率を下げられることを嫌う。この点を考慮した設計、つまり運用設計がとても大事である。セキュリティ対策の導入時には、是非、実業務を行っている現場の声や人も交えて行うことをお勧めする。

現場を巻き込むことにより、現場がセキュリティについての関心を持ってくれること、日々の業務の中でセキュリティを意識してくれること、さらに、業務効率も出来うる限り下げずに運用ができるようになること、などを期待することができる。

皆様の組織では如何であろうか。企業等のセキュリティの責任者や組織では、現場目線でセキュリティ対策を評価して頂き、「現場に優しく、実行できるセキュリティ」に取り組んで頂きたい。

【著作権は、宮坂氏に属します】