セキュリティ対策の目的志向型と問題回避型
人の行動パターンに、目的志向型と問題回避型の2つのパターンがあると言われています。たとえば、「仕事から収入を得るのは何のため?」と質問された場合の回答にもこの2つで分類できます。
1. 目的志向型:生活を豊かにするため、車を買うため、社会に貢献したいため。
2. 問題回避型:老後に路頭に迷わないようにするため、毎月収入を得て家賃を滞納しないようにするため。
どちらがよいとか、悪いとかはありません。一人の人間の行動の中にも、これらを使い分けていることが多いのではないでしょうか。
さて、この2つのパターンを意識して、よくあるセキュリティ対策を確認してみましょう。
USBメモリーを紛失し、盗難にあった
→ PCのUSBインターフェイスの口をふさぎ、USBメモリーを利用できないようにする
メールの添付ファイルを開いてウイルス感染した
→ メール開封訓練をして怪しいメールは開かないようにする
外部との不正な通信で、情報流出した
→ 外部との通信を監視し、不審な通信は遮断し、通信しないようにする
ウイルス対策ソフトがウイルスを検知しなかった
→ もっと性能のよい検知システムでウイルス感染しないようにする
情報セキュリティ対策は、事件や事故後に追加対策されるケースが多いためか、再発防止を目的に、○○○しないようにするという対策になりがちです。冒頭に取り上げた、問題回避型が中心となっていると言えるでしょう。
また、「セキュリティを確保するための考え方はもう十分わかったから、具体的にどうしたらいいのか?手段を知りたい」という意見をよくいただくこともあります。
これもセキュリティの目的をじっくり考えるというよりは、手っ取り早く問題が起きないようにしたい、つまり"問題回避型に軸足がある"ことを示していないでしょうか。
情報漏えい・流出事件があるたびに、表面的な原因を追究し、それを封じ込めようとする対策になる傾向があります。これは、俗にいうモグラたたき対策です。ほとんどの場合、問題回避の手法として禁止を中心とした対策になります。
こうした対策の何がよくないのでしょうか? 禁止を中心としたセキュリティ対策は、利用者の生産性を犠牲にしがちです。そのために不便を感じる利用者は抜け道を探し、セキュリティ対策をすり抜けるような運用をしはじめることがまずいことなのです。皮肉なことに問題回避策は、対策も回避される傾向があるのです。
USBメモリー利用禁止なら、SDカードに書き出す。それがだめなら、Bluetooth通信で外部の媒体に書き出す。それがだめなら、会社で管理していない個人利用のクラウドサービスに書き出す。情報をPCから書き出す方法はほかにもたくさんあるでしょう。ユーザーがUSBメモリーを利用する目的はほとんどの場合、コンピューター間でデータのコピーや移動を行う必要があるからです。目的志向型セキュリティ対策であれば、USB利用禁止ではないはずです。
では、目的志向型の情報セキュリティとはどのようなものでしょうか。筆者が、セキュリティ資格試験の準備から学んだことを例に解説します。
10年近く前に取得したCISSP(Certified Information Systems Security Professional)というセキュリティ資格取得のためのトレーニングで、情報セキュリティの基本3要素、機密性、完全性、可用性のうち「可用性」を最も重視することが繰り返し叩き込まれました。
「可用性」を重視する理由は、『情報をさまざまな脅威から保護し、「事業継続」性を確実にし、事業の損失を最小限に抑え、投資に対するリターンと事業機会の最大化を図る』という目的が情報セキュリティにはあるためとされていました。
正直に申し上げると、可用性重視というのは、目からうろこでした。「そうだったのか!」とちょっとした衝撃でした。情報流出しないように、とか、Webサイトが改ざんされないようにという、問題回避型の対策が情報セキュリティでは重視すべきと考えていたからです。
前述の可用性重視の理由から、目的志向型の情報セキュリティ対策が見えてきます。つまり、USBメモリー禁止ではなく、どうやって安全にデータのコピーや移動ができるかが目的志向型のセキュリティ対策と筆者は考えます。
組織で管理しているUSBメモリーを貸与し、暗号化をシステム的に強制しておく、また条件が許せば、データ交換専用のサイトを用意し、そこを経由してデータのやりとりをするというケースもあるでしょう。
