パスワードにこだわりすぎるワナ

もう1つは、パスワードのポリシーにこだわった例である。パスワードの文字数、文字種の組み合わせ、繰返し使用の禁止など、パスワードの強度を上げるための対策は色々考えられる。この中の一部が未実施だからといって、直ちに事件・事故に直結するとは限らない。まして、インターネットなどの公開された環境での話ならばいざ知らず、システムとして閉じたネットワークの中の限られた要員の中での話であれば、そもそもリスクは小さいはずである。

各要員に同じアクセス権が割り当てられている場合、他人になりすます理由としては操作記録を偽装することが考えられる。しかし、根本的な情報漏洩防止の対策にはなっていない。そのような対策を苦労して徹底しても、絶大な効果は見込めない。それよりも、もっと重点的に取り組むべき対策があるはずである。

さらに、リスクの大きさの違う対象に一律ルールを適用しようとする例もよく見られる。いかにも不釣合いに設置された監視カメラや生体認証装置などがその例だ。ISO27001の規格では本質的にはリスクの大きさに応じて必要な対策を検討することが要求されている。そのため、ステレオタイプ的に一律のルールで縛ろうとするのはコスト効率の面からも芳しくない。

以上のような状況が発生してしまうのは、なぜだろうか。

図3：リスクを把握するためには体系的なリスクマネジメントの概念が必要

効果的な運用にはリスク分析が不可欠

これは、リスクを分析・評価し、そこから対策を検討・改善していく仕組みの欠如である。JIPDECの調査では「セキュリティポリシーを定めている」と答えた企業の割合が70%近くに達するのに対して、「セキュリティのリスク分析を実施した」と答えた企業の割合が32.3%に留まっている。つまり、多くの企業がリスク分析せずにセキュリティポリシーを策定していることになる。そのため無理や無駄なポリシーが横行する事態を招いているといえる。

リスク分析を実施するにはそれなりの工数がかかるため、セキュリティ対策製品の導入など、まず対策の実施に目が行きがちである。しかし、これは危険な兆候だ。対策が目に見えてセキュリティレベルが直ちに向上したように錯覚されるからである。せっかく効果のあるセキュリティポリシーを策定したとしても効果は低くなってしまう。

効果的な運用のためには、「リスク分析を実施してリスクを把握しておくこと」が欠かせない。冒頭で述べた「やってはいけないセキュリティポリシー」を策定しないように、リスク分析を実施することが重要なのである。

今回は現場の実態とかけ離れたポリシーによる問題点を指摘した。次回は逆に現場の都合を優先し過ぎたばかりに、セキュリティポリシーが形骸化してしまったケースについて解説していこう。取り上げる事例は読者の皆さんもよくご存じの「端末PCの持ち込み禁止」である。 タイトルへ戻る