ルールによる運用は破たんする

常時稼働するシステムでセキュリティ対策

　情報セキュリティ対策には課題があります。PCの入り口（マルウエア対策など）では、新たなウイルスの出現速度が速すぎて対策が追いついていけないという問題があります。PCの出口（情報漏えい対策）に至っては、そもそも対策自体が遅れており、システムによる自動的な対策すら一般的にはなっていません。

　これでは「暗証番号や指紋・キーカードによる認証システムがあるにも関わらずオートロックにはなっていない玄関口」のようなものです。「急いでいた」「うっかりしていた」で暗号化されないまま、ファイルを外部に持ち出せてしまうのでは、情報セキュリティ対策をしていないも同然でしょう。

　逆に考えれば、オートロックのようなシステムだったら、漏れのない戸締まり、つまり漏れのない「情報セキュリティ対策」が可能と言えます。例えば、情報が社外に出たとたんに自動的に暗号化されるようなシステムを構築すれば、社員に通達すべきセキュリティ・ポリシーも不要ですし、「時間が無かった」「うっかり」で情報が流出することもないでしょう。

　このように、システム化された自動的な情報漏えい対策が有効なのは理屈で分かりますが、実際に行うとなると困難も伴います。例えば、ファイルを外部に持ち出す動作を考えると、メールに添付する、USBメモリに入れる、クラウド型の外部ストレージにデータを預ける、など多種多様です。その中で「USBメモリ対策」だけを行っても、ほかの方法で持ち出されてしまったら意味がありません。先ほど挙げたB社もメール添付に対策漏れがあり、外部への持ち出しが完全に防ぎ切れていませんでした。

　つまり、システムによる自動化されたセキュリティ対策を行うとなれば、当然これらの経路すべて、あらゆる動作についてしらみつぶしに検査していく必要があるということです。1つでもセキュリティ・ホールが存在したら、情報漏えいの可能性があります。そして穴が開いている扉に存在意義はありません。

「不良」はあって当然！？

　ところが、とあるIT関連のイベントで「システム開発ベンダーが構築したシステムに、ある程度の不良があるのは仕方がない」という内容の講義をされている方がいらっしゃいました。「ユーザー企業にも、そのこと（不良があること）を理解してベンダーへ注文をして欲しい」と。現実問題として、この心構えは正しいでしょう。

　また、コスト（システムの代金、不良が起こった際に取られる時間／損など）とメリットをてんびんにかけて効率の良いものを模索する「情報システム・マネジメント」と同様に、近年多くの有識者から「情報セキュリティ・マネジメント」が提唱されています。ある程度の情報漏えいをリスクとして計上しておき、情報の重要度に応じたセキュリティ・レベルを設定するというものです。

　これはベンダー側に立てば非常にありがたい理論です。品質にある程度の不備が出ることを容認してくれる理論ですから。一方で、ほかの業界では何万個という台数を出荷して2、3個不良が出ただけで世間を騒がせてしまうことがあります。ましてや（IT以外の）「インフラ」を担う企業において「原子力発電所の機器にひび割れがあった」「新幹線の橋脚に亀裂が見つかった」などの事態が生じた際に社会へ及ぼす衝撃は、とても強烈なはずです。

　顧客の立場に立てば、非常に難しい判断を迫られる話と言えます。確かに対策費用が少なくても問題ないと理論付けて、それが社会的に許諾されることは単純計算ではよいことでしょうが、そこで無視したわずかなリスクによって致命的な情報漏えいが起こり、巨額の損失につながる可能性もあり得るのです。「だったらITを使わない方が楽だ」と考える顧客だっているはずです。仮にオートロックであっても、穴が開いている扉を「これは社会的には許されている商品です」と売りつけられたらたまりません。

　このようにシステムによる情報セキュリティの自動的な対策には、セキュリティ・ソフトが備える「セキュリティ・ホール」をいかにふさぐかがキー・ポイントになってくるでしょう。次ページでは、セキュリティ・ホールを減らすための手法について解説します。