IT 管理者の苦悩 〜フリーの IM や P2P ソフトウェアとの闘い

前回まで見てきたように、情報漏洩は企業価値を著しく低下させる。失墜した信用を取り戻すには時間がかかり、金銭的な損害賠償が発生することも少なくない。そして、情報漏洩の多くが人為的要因に起因する。今回は情報漏洩を防ぎ、企業価値を守らなければならない IT 管理者の悩みを追ってみよう。

■わかちゃいるけど、やめられない
個人情報保護法の施行を契機のひとつとして、プライバシーマークや ISMS（Information Security Management System）を導入する企業が増えている。そのような企業では、たとえばノートパソコンの持ち帰り禁止やメールパケットの監視のほか、導入ソフトウェアの管理を徹底するケースが多い。

後者の対策が必要な理由は、便利なツールを知った社員がインターネットから軽い気持ちでソフトウェアをダウンロードして使うことがあるからだ。ところが、その社員は情報を漏洩させるつもりはないのに、ツールソフトが漏洩の温床になることがあり得る。その代表と考えられるのがセキュリティが緩やかなフリーの IM や P2P ソフトである。そこで多くの IT 管理者が、

　1．ソフトウェアの勝手なインストールを会社の規則として社員に制限する
　2．ユーザーのクライアント PC に監視ツールを導入して環境チェックを行う
　3．ファイアーウォールやゲートウェイ型の監視ツールを導入して、IM ツールなどが利用されていないかパケットを監視する

といった措置によってリスクを下げるように努力している。規則や監視を強化することで一定の効果を収めている会社も少なくないが、在宅勤務や一時的な派遣といった就業形態の多様化や、新しいツールの登場やセキュリティ脅威の顕在化によって、対策が追いつかない場合もある。それに社員は規則や監視を嫌う。仕事に役立つのだからこれくらいはいいだろう、という勝手に判断してしまう。

また、Winny 以外の P2P ソフトウェアや IM ツールを問題としてみなしていない、あるいは対策を講じていない企業も多い。IT 管理者の手が回らずに見て見ぬふりをしている企業もあるだろう。IT 管理者も IM が有効なツールであることは理解しているから、いつの間にか業務に組み込まれるまでに社員間に普及した IM を、一律に禁止しにくいという実情もあるかもしれない。しかし、それは問題の先送りでしかないのである。社員も IT 管理者も、情報漏洩がまずいことは「分かっちゃいる」のである。

■人間はミスをする生物である
ここで留意したいのが、セキュリティのポリシーの問題を社員の性善説と性悪説で語ることだ。まれに経営者が、性悪説に基づいてセキュリティを管理する、と発言して社員のモチベーションを下げてしまうケースを見かけるが、これなども本質を取り違えている例である。

セキュリティの取り組みでは、善か悪ではなく、「人間は必ずミスをする」という大前提にたって議論を進めるべきである。

たとえば、世界最高の品質管理手法のひとつといわれるシックス・シグマは、「100万個の製品を組み立てたときの不良品の発生、3.4個に抑える」ことを標榜している。しかし裏を返せば、「100万回の作業の中に3.4回の不良が発生する」ということである。すなわち、きわめて厳格な品質管理を行っても、人間である以上はミスはゼロになり得ない。

仮に500人の会社があって、社員が毎日10通のメールのやりとりを行っているとすると、
500人 × 10通/日 ＝ 5,000通/日
5,000通 × 1か月（22日）＝ 110,000通/月
110,000通 x 12か月 ＝ 1,320,000通/年

となり、年間のメール件数は100万通を超える。シックス・シグマを単純に当てはめることはできないが、社員数百人規模の企業であれば、年間に数通の誤送信は十分に起こり得ると認識しなければならない。メールに加えて外部ともやりとりができてしまうフリーの IM を日常的に使っていれば、リスクがさらに高くなることはすぐに理解されよう。

■IT 管理者は苦悩している
ここに IT 管理者としての苦悩がある。現場はフリーのツール類が便利だから使いたいといっている。メールも含めて利用方法を厳しくルール化すると、社員から苦情が来たり生産性が落ちる。一方で経営サイドからはセキュリティの向上を迫られている。ウイルスなどの外部の脅威への対応も必要だ。市場構造や事業戦略が変われば IT 基盤そのものも更新していかなければならない。操作の問い合わせや障害の報告が社内から届く。さて、一体どこから手をつけていいのか分らないというわけだ。

では、もっとも大きいリスクは何か？前回でも述べたように、それは情報漏洩による信用失墜である。経営者も IT 管理者も頭では分かっているはずだが、後回しにされかねない。しかしこの問題は、映画のタイトルではないが「今そこにある危機」なのである。

ひとつの対策方法は、便利なツールを積極的に導入して社員の生産性を高めながら、一方でセキュリティに懸念のない環境を作り上げてしまうことである。その解の一つがビジネス用の IM である。以下は、導入に欠かせない5つのポイントである。

1．ヒューマンエラーはなくならない
99.9999％安全でもミスはゼロにならない。たった1回のミス（たとえば誤送信による漏洩）が企業のブランド価値を下げてしまう。ミスに強い環境が必要である。

2．フリーの IM は絶対に利用しない
フリーのツールはメッセージのやりとりやファイル転送を把握あるいは禁止することができない。暗号化の機能もない。

3．セキュリティ機能を備えた IM を選択する
ログ機能、J-SOX 法への対応、社員間だけの利用制限など、機能を正しくみきわめた上で、情報システム部門が選定した「公認ツール」のみを使う。

4．IM ツールの利用は業務に限定する
私的ツールではなくビジネスツールとして利用させる。社員に監視を行っているという事実を伝えるだけでも私的利用や不正利用の抑止力になる。

5．ヒューマンエラーそのものが発生しない仕組みを作る
性悪説に基づいて社員を徹底的に監視するのではなく、ヒューマンエラーを防ぐ仕組みをつくることによって、社員と企業とを守る必要がある。安心した環境を提供し、生産性を向上させるべきである。

IT 管理者の本来の仕事はセキュリティ対策ではない。急速に変化する市場に即応した経営戦略を支える IT 基盤を構築することが本来の役目である。24時間365日、縁の下の力持ちとして企業活動を支えていかなければならないのだ。セキュリティのしっかりした基盤を導入するなどして、本来の業務に割く時間を増やしては如何だろうか。