ユーザー側のITリテラシの維持とセキュリティ構築の発想の転換
CompTIA日本支局 支局長 清水秀彦(以下:清水)
昨今、情報セキュリティを維持するにあたり、ITリテラシがますます必要となってきていると感じているのですが、実際にセキュリティの現場に近いラックやセキュリティ認定資格を提供されている(ISC)²では、どのように感じられていますか。
(ISC)² 日本 代表 衣川俊章氏(以下:衣川氏)
例えば、最近スマートフォンなどのデバイスで会社のネットワークに接続するようなケースが増えてきています。このようなケースでは例えばデータ漏えいなどのリスクが潜んでいるため、最低限のITリテラシを持っている人を増やして企業としてセキュリティを守っていく必要性が増してきました。その意味では、CompTIAから提供されているA+やNetwork+といった認定資格を取得し、ITリテラシを高めていくことが有効だと思います。
清水
今回のパートナーシップのベースとなっている米国国防総省(The U.S. Department of Defense、以下:DoD)の取り組みも一つの例ですね。この取り組みは、米国9.11のテロの際に、様々な情報があったにも関わらず、情報にアクセスできる関係者が限定されていたことへの反省から始まりました。ITリテラシを高め維持する方法をとった上で、情報ヘのアクセス権限を付与するといったセキュリティの観点から発生した人材育成への取り組みです。
株式会社ラックセキュリティアカデミー 支配人 与儀大輔氏(以下:与儀氏)
そうですね。セキュリティといっても、基本に「IT」を知らなければなりません。よく「セキュリティ」だけを切り離して考えてしまうのですが、「ITセキュリティ」ですので、利用する方々にきちんとしたITリテラシやITスキルは必要となります。認定資格の役割としては、個人のスキルを可視化することが可能ですので、有効な手段となりえるでしょう。また、エンジニアにとっては、ITはグローバルで広がっていますので、グローバルで通用する認定資格でスキルを可視化することは有効な手段です。特にセキュリティを自国だけのセキュリティという観点で話をするのではなく、世界各国のエンジニアと同じレベル、同じ言語で話をできる必要があります。
現在、CompTIAや(ISC)²から提供されている認定資格の受験者が増えてきているというのは、このようなことが重要なファクターとなっているのではないでしょうか。
清水 最近いろいろなお客様とお話をさせていただくと「セキュリティポリシーを持っています」「コンプライアンスもきちんと策定しています」「ISMSの認証を得ています」など、組織として様々な取り組みをしているので、社員個々人に対しては取り組みをしなくて大丈夫ですとおっしゃる方が結構いらっしゃいます。セキュリティは組織で考えるものであると認識を持たれていることが多いようです。その反面、毎年のように、IT白書のセキュリティ脅威の1位は「人為的ミス」が続いています。これについては、どのように思われますか。
衣川氏
確かに、組織でISMS認証を取っていればよいのではという話はよく聞きます。私はよく「ISMSは、組織におけるセキュリティの枠組みなので、実際に対策を検討し、どの程度実施するか、継続的に何をしていくかという議論はしていますか」とお客様に質問を投げかけるようにしています。実際に、ワールドワイドで見たときに企業でISMSを取得しているのは、日本が一番多いのですが、結果として情報セキュリティのインシデント数が減っているわけではありません。その原因の一つは、枠組みが具体的な対策に落としこまれておらず、また定期的な評価がされていないことがあげられると思います。パッチワーク的なセキュリティ対策を講じ、会社全体として最適な取り組みが考えられていないため、コストだけがかさみ、対策がついてきていないのが現状です。そのため、わかりづらい、守れない、そのため人為的ミスが発生するといった悪循環になっていると思います。この悪循環を止めるためには、先程のITリテラシのレベルを含めて定期的にレビューして維持することが必要ですし、知識を持って意思決定をできる権限を持つ人材を育成する必要があります。
与儀氏
ご存じのように、どの企業もISMS認証取得済みといった賞状や、セキュリティしてはいけない10カ条といったようなことが明記されて会議室に貼られていたりするケースが多くあります。それでも違反は起こってしまう。それは、違反により会社が追うリスクまで含めてユーザー教育がされていないからというのも原因の一つではないでしょうか。ラックでは、セキュリティの専門会社として、実際にリスクを可視化して見せることでユーザーを教育することの大切さを理解していただこうと「IT予防接種」というサービスを提供しています。具体的には、セキュリティポリシーを策定している企業に対し、スピア型の攻撃メールを配信し、どの程度開封されてしまうかでリスクを可視化します。結果的には、ほとんどの会社で、誰かが開封してしまいます。御社にはこれだけリスクがありますとリスクを可視化することでユーザーを含めた人材を育成する必要性を理解してもらいます。セキュリティの対策は、企業で「全員」にやらなくては意味がないんです。
清水
セキュリティのバリアは、会社で持っているのではなく各個人が持っているということを認識してもらうことが重要になりますね。先のDoDのモデルにあるように仕組みやフレームワーク、ポリシーの全てにおいて、最終的には個々人に対してITリテラシ、セキュリティの考えをきちんと植え付けるということをミッションとし啓蒙していくことが大事になってきますね。
衣川氏
ところで、日本と米国ではセキュリティに対する認識が少し違うところがあります。情報セキュリティの三要素として、「Confidentiality (機密性)」「Integrity (完全性)」「Availability (可用性)」があります。日本国内では、セキュリティと言えば情報漏洩など狭い領域に考えられがちで、どうしても「機密性」から発想してしまいます。米国などでは、ITに依存している企業が増えてきていることもあり「可用性」から発想します。許可された利用者が情報にアクセスする上で、必要なセキュリティはどのようなことかという発想です。可用性を保つということが、今後のIT社会において情報セキュリティの大きな要素であるということを伝えていくことも重要だと思っています。
与儀氏
確かに、日本のISMS審査員で習ったときは「CIA」といい、米国認定資格のCISSPでは「AIC」というように順番が違いますね。
衣川氏
皆さんそれには戸惑うようです。日本でISMSを勉強してきた方は、機密性至上主義のようになってしまっているためノートブックPC持ち出し禁止といった話がすぐにでてきてしまいます。米国では逆の発想で、持ちだすために作られたノートブックPCがなぜ持ちだし禁止なのだろうという風に考えられてしまいます。先程のユーザー側のITリテラシも必要な要素ですが、セキュリティを構築する上で何をプライオリティとするかといった発想の転換も必要な要素であると言えるかもしれません。