電子情報の危険度を確かめる５つの質問

　産業スパイや巧妙なハッカーの仕業であろうと、従業員の故意の犯罪または過失であろうと、セキュリティ侵害がもたらす被害は変わらない。ほんの数秒で、知的財産や秘匿情報を盗まれたり、コミュニケーション不能になったり、データを壊されたりする。そして企業は法的・金銭的な被害を蒙る。その損害が取り返しがつかないほどの大きなものになることもある。

　Data Security Systemsでプレジデントの立場にあるSanford Sherizenは、電子情報保護とコンピュータ犯罪防止のエキスパートだが、彼は企業の最高情報責任者（CIO）に対して、このような事態を避けるために社内情報セキュリティ担当者と一緒になって、情報保護体制が十分かどうかを確認するよう提案している。

　「全社レベルでの取り組みが必要」とSherizen。「情報セキュリティに対して高い関心を示すシニアマネージャーもたくさんいるが、安全と思えるレベルに達するのにいったいどの程度の対策が必要あるいは妥当なのかは、彼らも分かっていない」

　あなたの勤務先の情報がどれほどよく保護されているかかを知るために、以下の5つの点を問いかけてみよう。さらに、各項目のティップスに従って、的確なセキュリティマネジメント体制構築を心掛けよう。

　秘匿電子情報の流出を抑制するためには、どんなセキュリティ対策を講じているかを知る必要がある。ここでは顧客情報、知的財産、株主情報、財務書類、事業計画などの全てが秘匿情報と考えられる。

　各地を飛び回る従業員がおり、またビジネスパートナーとのシステム連携が進んでいる現在では、社外から社内システムにアクセスすることが一般的となっている。そうした状況では、セキュリティに対する意識を高めるための従業員教育が有効な対策になるとSherizenは言う。すでになんらかのセキュリティ教育やプログラムを実施しているかどうかを確認しよう。Sherizenによれば、企業の機密保護を家庭の防犯と関連付けて説明をするのが最も効果的なアプローチだという。そうすれば会社が直面している問題を従業員は簡単に理解できる。

　「夜間や週末に職場以外で仕事をする従業員がいる場合、自宅にいる従業員が従うべき情報セキュリティルールを会社がきちんと設定しているか。答えがノーなら、あなたの会社はウイルスや情報漏洩の危険にさらされている可能性がある」（Sherizen）

　たとえば、マサチューセッツ州にある大手防衛システムメーカーRaytheonのような企業は、強固な社内セキュリティプログラムを構築しているように見えるが、それでもセキュリティの問題と無縁ではなかった。米Group Computing誌の2000年9/10月号に載った記事によると、同社はインターネット上のチャットルームで自社の取引に関する機密情報を漏洩した疑いのある21人を告訴したという。その大半は分別を欠いた従業員だった。

　インスタントメッセージから生じるセキュリティ問題への対策としては、メッセージのフィルタリング技術を使う手がある。これなら企業は独自のルールを適用したり、特定のキーワードやキーフレーズを使ってフィルターをかけることができる。CIOの立場にある者は、テクノロジーと企業ポリシーの両面から、対策が十分な部分と不十分な部分を認識しておかねばならない。

　ネットワークがとまらないように、そして従業員・顧客・ビジネスパートナーへの電子メールが迅速に届くようにするために、どんな予防手段を講じているかを確認しよう。

　SLA（サービス品質保証契約）を結び、迅速なコミュニケーションを約束している場合、その契約責任を果たせなければ、厳しいペナルティを課されることになる。ネットワークの品質低下が続けば、契約の打ち切りや将来的なビジネスチャンスの喪失を招きかねない。スパムは明らかにSLAに打撃を与え、ネットワークの流れを阻害する。

　この点でも従業員教育が鍵になる。管理者の立場にある者は、スパムや社内のジャンクメールに対する方針を明示しなければならない。メールの送信者・受信者そして管理者はともに、くだらないメッセージの送受信が、企業の生命線ともいえるネットワークのパフォーマンスに壊滅的な打撃を与える可能性があること、そして平均以下のレスポンス時間が長く続くと先々どんな悪影響があるかを理解しなくてはならない。

　これに関して、たとえば電子メールのセキュリティに関するアウトソーシング・サービスMailwatchを運営する米EasyLink ServicesのバイスプレジデントBill Fallonは、システムをダウンさせる可能性がある大容量の電子グリーティングカードを拒否できる電子メールセキュリティシステムを導入検討するとよいと言っている。

　いたずらメールやネットを使った社会デモ活動（例「○○を守るために電子メールを送ろう」）も別の心配のタネだというのは、アンチウイルスソフトウェア開発の英Sophosでシニアテクノロジーコンサルタントを勤めるGraham Cluley。PCユーザーは良いことをしているという誤った理解から、これらの電子メールを知人全員に送信してしまいがちだからだ。

　Cluleyによれば、現実的にはこれらの活動がネットワーク帯域を食い潰し、メールサーバをパンクさせ、偽情報を広めるという。彼が推奨する解決策は、もしこうした電子メールを受け取った場合、ユーザーはそれを特定のITサポート担当者に転送するよう従業員に指導するというものだ。そうしておけば、担当者はメールが脅威を及ぼすものかどうかを調べられる。

　スパムを事前に発見するのも重要なことである。スパムやジャンクメールが増殖してネットワークを詰まらせる前に、スパムサイトや社内のジャンクメールを検知しブロックできるようなITシステムが必要だ。また、情報セキュリティ担当者は、定期的に問題のあるサイトを自分のほうから捜し出し、ブロックすべきサイトのリストを更新し続けなければならない。別の予防対策としては、サイズ、種類、構造、ユーザー、メールの発信ドメインなどを手がかりに、特定の添付ファイルを自動的にブロックする手もある。CIOはどのような対策がとられているか、何が不足しているか、またなぜ対策が実施されていないかの理由を問う必要がある。

　今日、法規上または訴訟上の理由から、裏付けとなる文書の保存は必須である。そこで、社外との送受信メールや社内電子メールの監査履歴をITシステム上に残せるかどうかを確認しておく必要がある。裁判沙汰となれば会社の名誉に傷がつき、長期的には投資家の信頼をそこね、株価の下落を招き、戦略的な事業提携もできなくなる可能性さえある。また、悪いイメージのせいで優秀な人材を雇用できなくなるかもしれず、そのせいで会社の将来的な成長が阻害されることも起こり得る。特に規制の厳しい金融や医療といった業界では、詳細な文書の提出の求めに応じられなかったときは、莫大な罰金を科されたり拘置される可能性もある。

　業務上の電子メールをデータベースに保存するのは、この問題に対するひとつの解決策である。送受信メールや社内の電子メールをユーザー、グループ、ドメインにより特定して記録・保存しておけば、必要時の検索や調査も簡単だ。

　「あなたの会社でコンピュータ犯罪が発覚したとき、誰の犯行なのかを法廷やマスコミや株主に明確に証明できますか」とSherizenは問う。答えがノーならば、その企業の情報セキュリティ責任者は、ユーザー識別と認証方法も大幅に向上させる必要がある。「現在では指紋照合・眼球虹彩スキャン・音声の認識などの、バイオメトリック認証ツールや、認証制御技術のパッケージがたくさんあるので、どんなものか調べてみる価値はあると、Sherizenはいう。

　これまでたまたま攻撃を受けたことがないからといって、今後も大丈夫だと油断してはならない。自社の電子データを汚染したり破壊するウイルスに対して、社外、社内、または遠く離れた場所などその発生源の違いに応じて、どんな防御策が取られているか、またすでに対策があるなら、それがどんなものかを知っておく必要がある。

　ITセキュリティ担当者は各自の働く業界内での情報セキュリティ動向を常に認識し、さらに過去の攻撃のパターンを研究して、セキュリティ侵害を防止または発見するための対策を学ぶべきだ、とSherizenはいう。

　また、担当者は、さまざな対策の導入コストと企業の目標とを照らし合わせながら、常に最新の電子情報セキュリティ技術やツールについて研究し続けるべきだ。

　もっとも基本的なレベルでは、どんなITシステムにもウイルスを検知してブロックする機能を備えなくてはならない。今日の市場には、名前のパターン、ファイル形式、構造、フィンガープリントを手がかりにウイルスの侵入を阻止できるツールが数多く出回っている。

　「管理者の立場にある者は、何を制限するのが適当であるかの戦略的なトレードオフを決めなくてはならないかもしれない」とSherizen。特定の情報へのアクセスを制限すればセキュリティ侵害のリスクを軽減できるかもしれないが、同時に重要な情報へのアクセスを制限されることで、突然のビジネスチャンスをつかむための俊敏さを失ってしまうかもしれないからだ。

　企業は、自社システムから発信される全ての通信内容に起因した過失責任を問われないよう、対策をとらなければならない。企業のネットワークを使っての電子メールの悪用が見つかれば、例えばセクシュアルハラスメントと解釈されかねないメッセージがあれば、その企業が告発される可能性が十分にあるからだ。

　2000年7月、米Dow Chemicalはポルノや暴力画像をダウンロードして保存し、電子メールで配布した従業員50名を解雇、200名を懲戒処分にした。ハラスメントの無い職場環境を求める社内規範に対する違反を問われたのだ。この事件は様々な影響や教訓を残した。同社は、従業員の解雇や新しい従業員の採用・訓練といった金銭的負担に加え、低下した志気や200人分の生産能力の喪失、無給停職処分、謹慎など、様々な問題に対処しなくてはならなかった。

　多くの企業がインターネットや電子メールの「正しい」利用を求める企業規範を設けているものの、それだけでは企業が問われる責任を限定するには不十分かもしれない。電子メールの中味をチェックし、企業倫理を遵守したものかどうかを確かめる体系だったアプローチも必要になってくる。

セキュリティ上の優位性を維持するためのポイント

　セキュリティソフトウェア開発の米GROUP Technologiesでバイスプレジデント兼ジェネラルマネージャーを勤めるAmy Kesslerは、「企業のセキュリティ維持に関するCIOのための５つの助言」として、次のような提案をしている。

　セキュリティ意識を高めること。

企業のシステムにアクセスできる全従業員と全パートナーには、電子メール、データへのアクセス、パスワード、ソフトウェアのインストール、インターネット利用等に関して、会社の方針を十分理解させる。

　調査および評価。

社内のデータについて詳細な調査を行い、保護する必要性の高い情報とそれ以外の情報を区別する。その上でその職場に最適のツールやアプリケーションはどれかを判断する。

　最適なツールを利用すること。

ファイアウォールやウイルス対策ソフトウェアだけでは不十分。特定の形式のデータがメールで送受信されることを防ぐソフトウェアや、電子メールを特定の基準でフィルタリングできるソフトウェアなどもある。

　ネットワークを積極的にテストすること。

各種ツールの導入後は、ネットワークを内外から徹底的にテストする。社内チームかプロのハッカーを雇ってシステムへの侵入を試みる。定期的にテストし、セキュリティホールが見つかり次第その穴を埋めること。

　専門家が最重要事項として指摘するのは、CIOが自社のセキュリティについて慢心してはならないということだ。安全対策を開発・導入しただけで、後はないがしろにすることがよくある。特に問題が起こらないとそうなりがちである。しかし、慢心はセキュリティシステムの更新の遅れやセキュリティホールの見逃しなどの問題を生む。セキュリティ侵害を長い間経験しなければ、今後もずっと安全だと考えがちではあるが、実は大きな危険が目前に迫っているのかもしれないのだ。