日夜、孤軍奮闘するひとり情シスを応援するメディアとして開設した「ひとり情シスチャンネル」。その特集の一つとして、ひとり情シスとしてさまざまな取り組みをしているソフトクリエイトホールディングスの情報システム部部長、長尾聡行氏へのインタビュー第2回をお届けする。

今回のテーマは「セキュリティ」だ。セキュリティほど情シスが危惧しながら、経営層や現場に軽視されているものは無いかもしれない。安全を求めれば求めるほど、コストがかさみ、手間が増え、仕事の邪魔になる。そう思われてきた。

しかし、最新のソリューションを組み合わせれば、セキュリティと利便性を両立することは可能だ。もちろん、中小企業であっても導入できて、運用の手間もかからない。自身もひとり情シスとして活躍する、ソフトクリエイトホールディングス 情報システム部部長 長尾聡行氏から、即効性のあるセキュリティ&生産性向上の秘訣を聞いた。

5社に1社が機密情報を漏洩している

「セキュリティ対策は最も重要な企業課題の一つ」と真剣に思っているのは、もしかしたら情報システム部門の担当者だけかもしれない。

NRIセキュアテクノロジーズが実施した『NRI Secure Insight 2018 企業における情報セキュリティ実態調査』によれば、セキュリティ計画を策定していない企業は28.3%にも上る。

  • 出典:NRI Secure Insight 2018 企業における情報セキュリティ実態調査 NRIセキュアテクノロジーズ株式会社

    出典:NRI Secure Insight 2018 企業における情報セキュリティ実態調査 NRIセキュアテクノロジーズ株式会社(https://www.nri-secure.co.jp/report/2018/analysis_global2018.html)

これは日本特有の課題で、アメリカでは無策定の企業は6%、イギリスでは4%に過ぎない。また、最高情報セキュリティ責任者(CISO)を設置しているのは英米では7割だが、日本では35.5%だ。こうした数字から、経営層のセキュリティに対する認識がとぼしいことが浮かび上がってくる。

セキュリティをおろそかにして、いざ事件が起きてしまえば、金銭的被害・技術競争力の喪失・損害賠償負担・信用の失墜など、企業は大きな損害を受けることになる。

では、専門家としての情シスは有効な手を打てているだろうか?

「情シスの担当になったときから、企業セキュリティに精通している人はいません」と長尾氏は言う。

「個人端末のウイルス対策と、企業のセキュリティはまったく違います。『PCに詳しいから』といった理由で情シスを任されたとしても、専門情報をキャッチアップし、十分な吟味をした上で、自社に適したセキュリティシステムを導入していくのは難易度が高い。しかも、日頃の業務に負われて、満足に取り組みを進められず悩んでいるというのが実情ではないでしょうか」(長尾氏)

結果として、サイバー攻撃被害を受けている中小企業は非常に多い。ソフトクリエイトが2018年に実施したアンケートによれば、従業員が100〜299人規模の企業のうち、クライアントPCがウイルスに感染したケースは58.6%、機密情報の漏洩・流失・紛失の発生は19.7%に達する。実に5社に1社が、機密情報を漏洩しているのだ。

「『ひとり情シス』という言葉をよく耳にするように、情報システム部門の担当者は、ごく少人数だったり、兼業でなんとかやっているのが実情です。せっかくセキュリティを改善しようとしても、経営層が理解してくれない。あるいは、現場が嫌がって実行してくれない。そんなことは誰しも身に覚えがあると思います。私も同じ『ひとり情シス』として、どうしていけばいいのか。具体策とセキュリティのポイントをこれからお伝えします」(長尾氏)

パスワードからの解放でセキュリティと生産性を高める

セキュリティの基本でありながら、もっとも嫌われている対策の一つが「パスワード」だ。PCを起動させて、パスワードを入力する。ブラウザを立ち上げて、パスワードを入力する。別のシステムを使いたくて、パスワードを入力する。いったい、一日にどれだけの手間を費やしていることだろう。

ソフトクリエイトホールディングス 情報システム部 部長 長尾聡行氏

ソフトクリエイトホールディングス 情報システム部 部長 長尾聡行氏

特に、パスワードの定期変更は「悪」以外の何物でも無いと長尾氏は強調する。

「かつては『3ヶ月に1回パスワードを変える』ようにといわれていましたが、これは逆にセキュリティを弱めることが分かってきました。覚えられるように簡単なパスワードにしてしまったり、手帳に書いてしまったり、変えているところを人に見られてしまったりと、リスクが増えるのです」(長尾氏)

長尾氏がオススメする方式は、シングルサインオンと二段階認証だ。シングルサインオンとは、1つのIDとパスワードで複数のシステムにアクセスできる仕組みである。

もう一方の二段階認証は、認証プロセスが2段階に分けて行われるのが特徴だ。SNSなどで使われることが多いSMS認証がその代表例だろう。IDとパスワードを入力して認証を行うと、登録されているスマホに数字4〜6桁程度の認証コードが送られてくる。その認証コードを入力することで、認証プロセスが完了する、といったものだ。最近はコードの入力すら必要ない、スマホアプリでボタンを押せば済むものも増えてきた。

これらの仕組みは利用者にとって簡便なだけではなく、パスワード流出の検知にもつながる。例えば1段階目のパスワードが流出したとしよう。そのパスワードを使って悪意ある第三者が認証しようとした場合、2段階目の認証プロセスが動くため、自身に覚えのない通知が届くのだ。シングルサインオンシステムであればパスワードはすぐに変更できるので、流出を検知したタイミングですぐに変更すれば大きな問題は起きない。

「どちらもスマホでは当たり前になってきた方式ですから、『認証していることに気づかない』くらい便利なことが知られてきたと思います。これを業務システムにも取り入れない手はありません。これだけで、セキュリティの強靱化だけでなく、現場の生産性向上にも繋げることができるのです。厄介なパスワードから解放されて、情シスは現場からお礼を言われるかもしれませんよ」(長尾氏)

本当に安全なデータの保管先

生体認証のように、スマホの普及は「セキュリティと生産性の両立」を見直す良いきっかけになると長尾氏は説明する。

「かつてのセキュリティの基本原則は『禁止』でした。オフィスの中でしか業務PCを使ってはいけない。データを持ち出してはいけない。禁止令だらけだったのです。仕事が制限されるわけですから、当然、業務効率も下がります。現場の不満は溜まる一方でした。しかし、今のスマホの機能はどうでしょうか。紛失しても、GPSを使って位置を特定することができます。見つかった方が良いに決まってますよね。もし見つからなくても、遠隔で操作をロックできますし、すべてのデータを消去することもできます。こうした機能を業務PCにも持たせれば、生産性を損なうことなく、セキュリティを保つことができるでしょう」(長尾氏)

そもそも、オフィスの中に重要データを保管しておくことは“本当に安全なのか”、と長尾氏は疑問を呈する。オフィスの中だけでしか業務PCを使ってはいけない、といった前時代的な対策では、むしろデータを失うリスクが高まることもあるという。

「私たちは誰しも、大切なお金を銀行に預けています。紙幣や硬貨といった物理的なかたちで保管するのではなく、口座というアカウントで預金データを扱い、ATMから引き出すことを選んでいるのです。タンス預金の方が、手元にあるから安全だと言う人は少ないでしょう。今のクラウドも同じです。定期的な脆弱性評価や、設定の見直しをしていないファイアウォールやVPN機器を通してインターネットと繋がっている自社内にデータが置かれている状況を安全だと考えるのはただの妄想です。それよりも、プロが運営する堅牢なデータセンターで保管してもらうほうが、はるかに安全なのです。さらにクラウドにデータを置いておけば、どこでもデータを扱えるようになりますから、業務効率を高めることもできます。そして情シスは、社内サーバーの保守に走り回らなくてすむのです」(長尾氏)

中小企業にも可能な多層防御を

予算も人員も限られている中小企業は、大企業のようなセキュリティをとることはできない。大手セキュリティベンダーの、1から10まで網羅できるがその分コストも手間もかかる「完璧」な説明を聞いてうなだれるのはまだ早い。自社には何が必要か、何から取り組むべきか、優先順位を決めて、重要で効果の高いところから手を付けていくことが必要だ。

ポイントは、「禁止より可視化」だと長尾氏は言う。

「混入したウイルスを駆除しただけでは、脅威を防ぐことはできません。それは氷山の一角にすぎないからです。隣のPCにも転移していて、それは駆除されておらず、一ヶ月後に情報漏洩している可能性もあります。仮にアンチウイルスのフルスキャンを毎日かけたところで、たいした効果は無いのです。むしろ、仕事の邪魔をしています。それより大事なことは、感染経路や被害の広さといった状況を把握して、サイバー攻撃に応じた対策を講じることです。『可視化』こそがセキュリティの潮流なのです」(長尾氏)

  • 『可視化』こそがセキュリティの潮流

次世代型のアンチウイルスやファイアウォール・UTM、メールフィルタ、資産管理操作ログなど、最新のセキュリティにはさまざまなソリューションがある。

「『低コスト』で『導入するだけで効果』があり、『運用にほぼ手間がかからない』ものを選んで、重ねて使っていきましょう。大事なことは多層防御です。これで防御力は飛躍的に高まります。かつてのセキュリティは不便で手間のかかるモノでしたが、いまは両立できるものがどんどん増えています。人手不足に悩む『ひとり情シス』だからこそ、こうしたものを積極的に導入していってください」(長尾氏)

●関連記事はこちら

PCレンタルとA社の情シス改革の深い関係とは?

「アウトソース」の誤解を解く!情シス業務をアウトソースする企業へのメリット

[PR]提供: ソフトクリエイト