第30話どうして？ルールが多い企業ほどセキュリティが弱い逆説の理由。

2021年8月4日 17:03

テレワーク導入でルールが更に増えた？

在宅ワーク実施にあたり、新しくセキュリティルールを用意した企業も多いことだろう。

・テレワーク導入ルール
・テレワーク実施ルール
・セキュリティ教育
・ルール実施の監査
・セキュリティ事故発生時のフロー
etc

ところで一般社員が守らなければならないルールが多いほど、その企業のセキュリティ脆弱性は大きいと言える。

たとえば在宅ワークに対して下記のようなルールを策定している企業があるとする。このルールの何がダメなのかおわかりになるだろうか。

マルウェア感染に関するルール
・業務システムにリモートアクセスするパソコンは、アンチウイルスソフトがインストールされ、常に最新の定義ファイルが適用されていること。

モバイル端末紛失に関するルール
・業務システムにリモートアクセスするパソコンを持ち出す時は、常に紛失盗難に最新の注意を払い取り扱いをすること。
・モバイル端末紛失時は速やかに上長に報告すること。

USBメモリ紛失に関するルール
・業務システムにリモートアクセスするパソコンにはUSBメモリなどの外部メディアの接続は行わないこと。
・業務上やむなくUSBメモリを使用する場合は、システム管理者の許可を得、会社が指定した暗号化機能付きのUSBメモリを使用すること。

不正アクセス防止に関するルール
・業務システムにリモートアクセスするパソコンはシステム管理者が許可した端末以外のアクセスは行わないこと。
・マルウェアやフィッシング詐欺に充分注意し、不審な添付ファイルを開いたり、不審なログインサイトにIDやパスワードを入力しないこと。

これらのルールは一見いろいろ考えて網羅されているように見える。
しかしもしこのようなマニュアルを実施した場合、効果は贔屓目に見たとして、効果は５０％程度であろう。

確かに一般的な社員は基本はマニュアルを守ろうとする。ただしそれは業務に余裕がある時という条件が付く。
もし膨大な仕事量を抱えて締め切りに追われる状態であれば、会社の風土によって社員はルールを破ってでも、仕事を終わらせようとするであろう。

またいくら注意しても人間の不注意でどうしても起きてしまうセキュリティ事故もある。そのようなセキュリティ事故の予防に「充分な注意を払うこと」というマニュアル１行がどれほどの効果があるか。

一部の企業では残念ながら、セキュリティ事故の再発防止として、何でもかんでもマニュアルに書くというケースがある。
本当に今の社員の業務量でそのマニュアルが守れるかどうかは、何も考えない。とにかく何か対策をしなければならないから、マニュアルに突っ込んでおきましたといういわゆる「ゴミ箱マニュアル」だ。

社員の方も年々増えて行く膨大で細かいマニュアルを本気で守ろうとは考えていない。このマニュアルを全部守っていたら、とても仕事は進まない。

さてテレワークのセキュリティルールについては、少なくともセキュリティ事故リスクの高い上位４項目については、ゴミ箱マニュアルの運用は行うべきではない。

マニュアルの有無に限らず、システム的にセキュリティ事故が発生しないように、経営者はシステムを整えるべきだ。

マルウェア感染をシステムで防ぐ
・アンチウイルスソフトの定義ファイル常に最新になっていないパソコンは業務システムのリモート接続が出来ないようにする。

モバイル端末紛失による漏洩をシステムで防ぐ
・盗難紛失にあっても情報が漏洩しないよう、端末内にデータを残さないか、ディスクそのものが自動で暗号化されるようにする。

USBメモリ紛失による漏洩をシステムで防ぐ
・USBメモリなど外部メディアそのものの接続をシステム的に禁止する。
・またはシステム管理者が指定した暗号化対策のとられたUSBのメモリ以外の接続をシステム的に禁止する。

不正アクセスによる漏洩をシステムで防ぐ
・システム管理者が許可した（システム的にセキュリティが担保されてきる）端末以外は、業務システムにシステム的に接続を禁止する。

人が自分で判断しなければならない「運用ルール」や「マニュアル」が多い企業ほど、セキュリティの脆弱性があると言える。

ユーザの不注意や故意であっても、情報漏洩がシステム的に出来ないように準備されている企業は、セキュリティ事故が発生しづらい企業であると言える。
全ての企業経営者が目指す理想像と言える。

まとめ
・リスクの高いセキュリティ項目は「ゴミ箱マニュアル」ではなくシステムで脆弱性対策を行う。

【2021年版】ゼロトラストFTAガイドブック（無料）はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。