セキュリティを守るため、企業では「このような行為は禁止する」とルールを作る。さらに、禁止行為ができないような「仕組み」も導入する。しかし、せっかくの「仕組み」も正しく運用されなければまったく意味をなさない。

例えば先月、こんな事件があった。

タスポ「ご自由に」の自販機　各地で出没（2008年6月6日）

佐賀県上峰町内のたばこ店が未成年者喫煙防止のための成人識別ＩＣカード「タスポ」を５月中旬から自動販売機に備え付け、カードがなくてもたばこを 買える状態にしていたことが分かった。店主は「売り上げが極端に減ったため」として「ルール違反」を承知で備え付けていたが、業界の指導などを受け、５日 朝、自主的に撤去した。

カード発行元の日本たばこ協会によると、カードは表に印刷された本人のみが利用でき、他人に貸与、譲渡、質入れすることができず、不正利用が発覚 した場合はカードの利用を停止することがあるという。同じような事例は福島県で２件、福岡県ではゴルフ場も含めて２件発覚している。

同協会の小林和之・未成年者喫煙防止対策室長は「カードの備え付けは貸与と同じか、それ以上に悪質。制度の趣旨、信頼を根幹から揺るがす行為で、業界を通じて監視を強化する」と話している。

未成年者喫煙防止のために導入された自動販売機用の成人識別ICカード「taspo（タスポ）」は、7月1日から全国で運用が開始された。上の事件は、先行導入されていた地域で起きたものだ。 　識別用のICカードを誰でも使えるようにしてしまっては、まったく意味がない。オフィスビルでゲート通過用のIDカードをゲートのところに備え付けていたり、企業システムを利用するためのIDとパスワードを書いた紙を誰でも使える端末の前に貼り出しているのと同じである。

過去の本コラムでも繰り返し述べているが、セキュリティを守る「仕組み（システム）」は、そのシステムを導入するだけでは有効に働かない。正しく利用されて初めて効力を発揮する。しかし、これが難しい。今回の事件で、タスポを自動販売機に備え付けていた店主は、売り上げが極端に減ったためルール違反は承知の上でやったと言っている。「IDやパスワードを覚えるのが面倒」「画面が表示されたりウイルスチェックが行われてパソコンの動作が遅くなるのがいや」など、身勝手な理由でシステムを正しく利用しないのも「ルール違反は承知の上」だろう。

セキュリティの難しいところは、実際に何らかの被害が生じるまで、正しく利用されていなくても特に問題がないように見える点だ。家中のカギを開けたまま外出しても、たいていの場合は何も起きない。IDやパスワードを貼り出したり、パソコンのセキュリティ機能をオフにするのも同じだ。泥棒が入ったり、情報漏えいやウイルス感染、ウェブサイトの改ざんなどが起きたりして、はじめて深刻なトラブルになる。

自動販売機に備え付けられたタスポも、未成年者に勝手に使われなければ「未成年者の喫煙防止」という目的だけは果たすことができる。ただ、それがいつまでも続くとはだれも思わない。だからこそ「本人以外利用禁止」、「貸し出し禁止」のルールがあるのだ。

大半の職場ではトラブルの体験がない。そのため、セキュリティ・システムを正しく利用するモチベーションが高まりにくく、システムの正しい利用より各自の都合が優先されてしまいがちだ。知識不足が原因で、都合を優先の行為がルール違反だと認識されていない可能性もある。システム部門や経営サイドによる十分な情報提供、研修などを通じて、現場のセキュリティに関する知識と意識を高めていくしかない。

「ルール違反は承知の上」という人は、トラブルが生じた場合のリスク（場合によっては企業の存続や業務の継続に影響する）を正しく理解していない、もしくは自分とリスクは無関係だと考えているケースが多い。「なぜそのようなシステムを導入しているのか」という意味が正しく理解されなくてはならない。

その一方で、ルールやシステムが妥当かどうかも継続的に検証される必要がある。セキュリティ確保を優先するあまり実際に利用する現場に過剰な負担をかけているようでは、正しい利用は期待できない。 　極端な例をあげよう。「セキュリティ保護のため、2時間に一度パスワードを変更しないとメールが使えなくなります」というルールとシステムを導入したところで、正しく使われないのは目に見えている。

パスワード変更を1カ月に一度にする。パスワードの変更ではなく、パスワードの入力を2時間に一度とする。パスワードは2時間で無効になるが、キーホルダー型のワンタイムパスワード（使い捨てのパスワード）生成機を導入することによって利用者がパスワードを変更する手間をなくす。このように、業務内容や取り扱う情報の重要度などに応じて、いろいろな改善が可能なはずだ。

もう少し現実的な「セキュリティソフトは画面が出たり、ウイルスチェックがパソコンの動作を遅くするのが嫌」という意見に対してはどんな対策がとれるだろうか。

まず、ソフトの警告表示をできるだけ減らしたり、定期的な全ドライブのウイルスチェックは業務時間外に行われるようにするなどのカスタマイズをシステム部門側で行うことが考えられる。マネジメントシステムがなく手作業での設定が必要なら、設定手順を社内向けのウェブサイトに掲示してもいい。もしくは、動作が軽い（ただしウイルス検出能力は同等の）対策ソフトに変更する、そもそも動作が遅い5年以上前のパソコンはより高速に動作する最新機種に入れ替えるといった力技も考えられる。

このような検証はシステム導入前に十分行われるのが理想だが、使い始めて初めて分かる問題もある。一度完成したシステムは、導入の手間とハード／ソフトの費用を考えると多少の不都合が発覚してもそのまま使い続けられてしまいやすいものだ。しかし、そこで生じる「無理」がシステムの正しい運用を妨げる要因になっては意味がないし、セキュリティ上新たな脅威が発生することも十分にあり得る。

情報セキュリティでは、人もルールもシステムも、日々改善が必要だ。

著者プロフィール

斎藤幾郎
フリーライター。パソコンやインターネット等の初心者向けの解説記事を中心に手がける。現在、朝日新聞土曜版「be」で「デジタル若葉マーク」を連載中。同紙「てくの生活入門」にも寄稿。近著に「パソコンで困ったときに開く本2008」（アサヒオリジナル）「グーグル100%利用術」（朝日文庫）「てくの生活入門」（講談社、一部を担当）などがある。

1. 壱の鍵：データ漏洩は75日じゃ収まらない
2. 弐の鍵：データだけでなくパソコンも守れ
3. 参の鍵：利用者の「知識」と「意識」も鍛えよ
4. 四の鍵：「見た目が同じ」だけでは安心できない
5. 五の鍵：ケアレスミスが招く情報流出
6. 六の鍵：パスワード泥棒に注意
7. 七の鍵：システムを台無しにする「ルール違反」
8. 八の鍵：自社サイトの「デザイン」は安全か

• トップページへ戻る