社内のセキュリティ意識の熟成について | ひとり情シス事情

イントロダクション

システム屋として十数年、セキュリティがガッチガチのIT企業で勤めていました。
Web閲覧はもちろん、外部媒体はもってのほか、持ち出しパソコンはシンクライアントのみの上で出入り口のゲートで申請書を確認され、紙資料も持ち帰り廃棄まで全て管理されていました。
事業内容が事業内容なので、セキュリティ事故や情報漏えいが発生した時の経営的なインパクトは大きく、生産性よりもセキュリティが優先されることに対して誰も疑問に思わないくらいにセキュリティに対する意識は徹底されていました。

転職して最初に感じたギャップもセキュリティ意識でした。会社としてとんでもなくセキュリティが甘いということではありません。セキュリティ規定もあるし、それに沿った監査も設定されています。しかし個々のセキュリティに対する意識というか優先度がこれまでいた環境とまったく違うのです。

具体例も交えてどのあたりにセキュリティ意識のギャップを感じたかと、セキュリティ意識の熟成への取り組みをお話していきたいと思います。

セキュリティ意識のギャップ

外部記憶媒体の調達方法

セキュリティ規定上、USBメモリや外付けHDD等の外部記憶媒体は社有のもの以外使用は禁止され、使用するものは申請の上で台帳で管理されることになっています。
この点は仕組みとしてセキュリティを確保できるようになっていると思います。
しかし問題はその外部記憶媒体の調達方法です。

基本各部署で調達して、それを申請書で情シスにあげてくることになっています。

これではセキュリティ的には片手落ちです。

外部記憶媒体の使用そのものがセキュリティリスクであり、基本的には「使用しない、させない」が大前提です。どうしても外部記憶媒体でなければいけない理由や目的があり、それが承認された上ではじめて使用が許可されるようにしなければ、使い勝手のいいUSBメモリは氾濫します。氾濫すればどれが社有品かの区別があいまいになりやすくなります。

また使用を許可する場合でも、暗号化等のセキュリティ対策が行える機器を選定して「貸与」すべきであり、各自の判断で調達した機器ではそれらの対策が均一に行えなくなります。

メール添付のセキュリティ

内部・外部問わず、情報共有手段としてメールを利用する場面は多く、ビジネスツールとして必要不可欠な存在です。
共有する情報として本文だけではなく、別途ファイルを送付する場面もあると思いますが、ここに大きな意識の差を感じました。

非圧縮、非暗号化のOfficeのファイルが内外問わず飛び交っているのです。

メールの添付ファイルほどウィルスやマルウェア、標的型攻撃に利用されやすいものは無く、信用できる相手からのメールであっても本人が意図しない形でそれらのものが混入することはありえます。
また非圧縮、非暗号化のファイルは盗聴の危険にも晒されます。盗聴でなくても、誤送信が発生した場合に機密情報を第三者に送ってしまい、それが閲覧できてしまうリスクもあります。

メール添付も外部記憶媒体同様、極力使わないのが最も効果的です。社内であればファイルサーバのパスやグループウェアのキャビネットを活用することが望ましいですし、社外であればセキュアな共有ストレージやファイル転送サービスを活用すべきでしょう。

ウイルスや盗聴の被害者は自社だけではなく、送付している相手にも及ぶ場合があります。ビジネス上の信頼を失墜させる恐れがある非常に重大な問題になりえます。

物理的なセキュリティについて

そして一番びっくりしたのが、入社初日の退社時でした。
支給されてたノートパソコンをシャットダウンして、周囲の人に「パソコンってどこにしまっておいたらいいですか？」と聞いたら、キョトンとした顔をされました。

「いや、そのままでいいですよ。」

えっと、そのままって、机の上に置きっぱなしってことですか？
セキュリティワイヤーも何もありませんが、本当にそのままなんですか？

「一応オフィス自体警備会社の警備が入りますから。」

前職では警備会社なんてのは当然として、入口にセキュリティゲートがあって、PCの出入りはそれこそ江戸時代の関所の入鉄砲と出女よろしく厳重な取り調べを受け、デスクで使っているパソコンは概ねデスクトップであるにも関わらず、本体はおろかディスプレイまでセキュリティワイヤーでがんじがらめにしていましたから、正直不安で仕方ありません。
しかも鍵のかかる机やキャビネもほぼ無いという状況です。

ここに関しては正直現在勤めている会社のセキュリティが甘いと言わざるを得ないと思います。退社時にノートパソコンをキャビネットにしまうくらいのことはやっている会社も多いでしょうし、何より机に鍵がかからないってどれだけフルオープンなんだよと（役職者の場合はちゃんと鍵はあるみたいですが）。

以前お話したソーシャルエンジニアリングではないですが、セキュリティは何もデジタルなことに限りません。まずは物理的な安全を確保するところからはじめなければいけません。オフィスは純粋に社内の人だけの空間ではありません。出入りの業者もいます。宅配便や複合機のメンテナンスの人、ビルメンテナンスの人なんてわざわざ名刺を出したりせずに執務室内に入ってくる場合もあると思います。

情報セキュリティというだけではなく、ゾーンを明確に分けるのはもちろん、そこに出入りする人を正しく把握して管理することはオフィスのセキュリティ上必要不可欠です。

セキュリティ意識の熟成

難しい上に果てが無いテーマ

冒頭に「IT企業のセキュリティが高い」という話をしましたが、セキュリティインシデントが皆無だったわけではありません。管理されているからこそ些細なことも検知されていたというのもありますが、飲酒による持ち出しパソコンやUSBの紛失のようなことは、どれだけ注意喚起しても完全に撲滅されていたわけではありませんでした。

仕組みをどれだけ厳重にしても、最後の砦は個人の意識になります。社員一人ひとりの意識の徹底度合を完璧に把握することは困難です。というか、セキュリティに対しての意識でそれができるなら、経営や業務に関する意識の方こそ完全な徹底と統一がはかれているでしょうから言わずもがなです。

完璧が難しくても可能な限りの手を尽くす。常に情報を更新し続けてレベルを維持する。
セキュリティ意識の熟成は果ての無いテーマになります。

一番必要なのは率先垂範

セキュリティ意識を自発的に身に着けることは難しいです。こればかりはトップダウンでやっていくのが適していると考えます。

経営層や管理職が守れていないものを、全社員が守るわけがありません。
ましてや情シス自身ができていないことなど誰も守るわけがありません。

まずは自身のセキュリティ管理について常に気を引き締めること、相手が上位者であっても役員であってもセキュリティに関しては忖度せず責任者として毅然とした態度を取ることが必要です。煙たがられたとしても、これなしに周囲にセキュリティを説くことはできません。

その上で真っ先にターゲットにすべきは経営層です。
経営層はセキュリティに関して関心を持っていないわけではないはずです。
ただ具体的に何をどこまでするべきかについてはこちらから働きかけなければいけません。
以前から似たような話をしてきていますが、きちんと計画を作成して提示することはもちろん、その目的と効果を訴求していく必要があります。
全て受け入れられなかったとしても、根気強く続けていかなければいけません。
ここの理解を得られない計画は、全社で守られるはずがありません。