会社で行っている、情報漏えいに備えたセキュリティ対策ルールの数々。守るべき大事なものとはわかっていても、中には「これって本当に意味あるの……?」と気になってしまうものも少なくないのではないでしょうか。
例えば、「業務で使用するアプリケーションをアップデートしてはいけない」、「Zoomの使用はNGだが、TeamsならOK」「パソコンが入ったカバンを電車の網棚に置いてはいけない」などなど。こういった一見しても目的がわからないセキュリティ対策ルール、いわゆる「謎ルール」は、果たして本当に意味があるのでしょうか。
よく耳にするルールの妥当性や、オフィスのセキュリティ対策の考え方について、大阪大学サイバーメディアセンター所属で、過去には当メディアで野良Wi-Fiの危険性について教えていただいた、猪俣敦夫教授にうかがいました。
猪俣 敦夫(いのまた あつお)先生
大阪大学 CISO、サイバーメディアセンター副センター長、情報セキュリティ本部教授。立命館大学客員教授。博士(情報科学)、情報処理安全確保支援士、CISSP。一般社団法人JPCERTコーディネーションセンター理事、奈良県警察・大阪府警察サイバーセキュリティアドバイザー。
「謎ルール」が増殖するのはなぜ?
——企業のセキュリティ対策ルールでは、意味があるのか疑問な「謎ルール」を目にすることが少なくないですが、そもそも企業のセキュリティ対策って、何が難しいのでしょうか?
猪俣先生:セキュリティ対策ルールを定めるうえでいちばん難しいのは、それぞれの会社が「自分たちは、何を優先するべきなのか」を考えて、セキュリティ保護と業務効率とのバランスを取らないといけないことです。
究極、ルールをとにかく厳しくして「あれもダメ、これもダメ」にするのが一番楽だし、安全です。でもそれだと業務が回らなくなるし、お客様の利便性も落ちてしまいます。
そして、巷にあるセキュリティリスクの恐ろしい話を聞いて「情報が漏れたら大変なんだから、うちもやるべきでしょう」と考えた結果、ルールが増えていく企業も多いと思うんです。
——しかし、すべての企業にサイバーセキュリティの専門家がいるとは限りませんよね。
猪俣先生:そうなんですよ。セキュリティの専門家を雇うのがベストですが、会社によってはそれも負担になります。収益を上げるミッションがありながら逆にコストが増えますし、セキュリティに投資しても目に見える価値が出ることはありませんから。
そこで、多くの会社は、外部のセキュリティベンダーやコンサルティング会社に相談して対応していますね。私も、実際にセキュリティ事故を起こしてしまった会社や、他社の情報漏えいを目の当たりにして危機感を持った会社から相談を受けて、対策のお手伝いをすることがあります。
ルールで縛りすぎても、業務効率や利便性が落ちる
——具体的な「謎ルール」について、本当に意味があるのかをお聞きしたいです。例えば、以下のようなルールはよく耳にするのですが。
——「オンラインミーティングはMicrosoft Teamsで」や「Googleのツールを使ってはいけない」など、とくに大手の会社に多くある印象なのですが。
猪俣先生:これは、セキュリティ面の事情だけで作られたルールとは言い切れないですね。例えば「Teamsしか使えない」のは、会社が使うツールをMicrosoft社製に統一しているから、という事情が大きいと思います。
一方で、セキュリティ面で見ると「Microsoftだけ」とか「Googleだけ」とか、会社としてはツールをひとつに統一したほうが管理しやすい、というのも事実です。想定していないサービスを社員が使っていると、情報漏えいが起きたときに経緯が辿りにくくなってしまうんですよね。なのでこれは一定の意義があるルールだと思います。
——ツールを制限することで、万が一のときに検証しやすくなるんですね。
猪俣先生:たくさんのツールを併用すると起きがちなミスの代表格が、メールの誤送信です。
例えばGmailは、メーラーとして複数のメールアドレスを切り替えながら使用できます。その機能を利用して社用とプライベートメール、両方をひとつのメーラーに集約するよう設定している人もいるかもしれません。
ただ、これだと「社用のアドレスに届いたメールに、プライベート用のアドレスで返事をしてしまった」とか、「大事なメールの宛先に、無関係の人を入れてしまった」など、誤送信のリスクが高くなります。メールは一か所に集約したくなりますが、「ツールの使い分け」は重要なんです。
——確かに、ツールを使い分けていれば避けられるトラブルも少なくなさそうです。では、こんなルールはいかがでしょう?
——3カ月、半年おきのパスワード変更をルールにしている会社もあるらしく、毎回覚え直すのが大変そうだな、と思ってしまうのですが。
猪俣先生:あくまでも私の考えになってしまいますが……このルールは、意味がないと思います。我が身のことを思い返してほしいんですが、変更したけど覚えられないパスワードを、紙にメモしたことってありませんか?
——ありますね……。スマホのメモに書いたりとか。
猪俣先生:メモを作ると、それをどこかに置き忘れちゃうんですよ。そのリスクを取るのであれば、使うパスワードを強くする方がよっぽどセキュリティが守られるだろう、というのが私の見解です。
パスワードは10桁以上の長いものを作り、複数のサービスで使い回さないのが基本です。すべてランダムな文字列でなくても、後半の記号をちょっと変えるだけでだいぶ安全になりますよ。こうすれば、ひとつのサービスで流出した情報を悪用する「リスト型攻撃」(※)をある程度は回避できるようになりますから。
※ 手に入れたIDとパスワードの組み合わせを用いて、不正ログインを試みる手口のこと。メールアドレスと使いまわししているパスワードが流出してしまうと、他サービスも不正に使用できるようになり、二次的・三次的被害が発生することも。アカウントと銀行口座やクレジットカード情報の等が紐付けられているとなおさら。2023年8月、累計130万人のユーザーをかかえるSNSが不正アクセスを受ける事件が発生した際にも話題になった
——不正アクセスの事件もよく聞きますし、パスワードの運用方法はより意識したほうがいいですね。では、次は意外と多かったこんなルールなのですが。
——検索サイトやSNS、動画サイトの閲覧が制限されて、まともな情報収集ができない!と困っている人も少なくないようです。
猪俣先生:うーん、これは難しいところですね。見られなくしている理由は、ウイルス感染のリスクがあるURLにアクセスしないようにするためです。
本来であれば、Webサイトごとにアクセス可否を判断すべきです。しかしWebサイト一つひとつに対して「信頼性があるサイトか」を判断するにも限界があるので、「すべて閲覧NG」となっているのかな、と。確かに、隙あらばウイルスを送り込もうとしている詐欺サイトも多いですし、一定の効果はあると思います。
なのですが……私としては、これは業務効率を阻害する悪しきルールだと思います。だって、SNSやYouTubeを使って情報収集するなんて、仕事で避けて通れないじゃないですか。
——そうですね。「インターネットを通した情報収集がまったく必要ない仕事」もかなり珍しいのではと思います。
猪俣先生:大学のネットワークからGoogleへのアクセスが制限されたら、教員はまともな仕事ができなくなりますよ。私がその環境下で仕事しろと言われたら、アクセスが制限されないネットワークを自分で勝手に用意すると思います。
猪俣先生:企業でもそれと同じで、インターネットに過度な制限をかけると、社員は私用のスマホで検索して、その情報を会社のパソコンに送るようになるんです。私用スマホは会社による管理外のツールなので、先ほど話したように、トラブルが起きても対処できない。
厳しくすればするほど従業員は抜け道を探すようになって、会社はどんどん管理しにくくなる落とし穴があるルールだと思います。これについては、プロキシサーバーを通してWebサイトの安全性をチェックするソリューションがあるので、それを導入するのがいいと思います。
あのルールも、実は大きな意味があった!
——巷には「謎ルール」がまだまだありまして……次は、こんなルールについてはいかがでしょうか。
——世間では「PPAP(パスワード付き暗号化ファイル送付・パスワード送付・暗号化・プロトコル)」なんて名前をつけて呼ばれているようですが。
猪俣先生:何かと話題になりがちなルールですが、これは意味がないとされています(※)。同じアカウントから同じ宛先に送ったメールは傍受できてしまうので。
そもそも、ファイルをメールに添付すること自体が大きなリスクなんですよ。情報漏えい事故はメールに添付されたファイルから起こることが多々あります。別の宛先に誤送信してしまったら、今度は「誤送信を防ぐために」と、ほかのセキュリティルールにも伝播しかねません。
※「遭遇率は高いが、意味がないセキュリティ対策ルール」として槍玉に挙げられがちなPPAPだが、セキュリティの重要性が取り沙汰されたときに、議論が不十分なままPPAP用システムを導入してしまった会社も少なくなく、いち社員の立場では「意味がないことを知っていても、システムを使用せざるを得ない」場合も多い。「なので、仕事でPPAPを見かけても、そんなに怒らないであげてほしい」(猪俣先生)とのこと。
——では、取引先へのファイル送付はどのようにするのが良いと思いますか?
猪俣先生:「クラウド上にファイルをアップロードして、そのURLをメールで伝える」のでいかがでしょう。リンク先にパスワードをつけるとなお安心ですね。万が一メールを誤送信してしまったら、リンク先のファイルを削除することで対応できますし。
——なるほど! そのやり方だったら安心ですね。最後は、「そこまでやる?」と思ったルールについてお伺いしたいのですが。
——社員の行動やパソコンの管理に物理的な制限をかけるルールですが、これはいかがでしょうか。
猪俣先生:そのルール、ありますね。うっかり置き忘れないように、「パソコンは、肩がけカバンに入れる」というルールをつくっている自治体もあるほどです。網棚や飲みの席へ持っていくのを禁じるのも同じ理由で、結構な確率で、本当に忘れてしまうんですよ。
個人的な体験としても、お酒を飲んで電車に乗ると、普段は考えられないような忘れ物をするじゃないですか。後悔するし落ち込むしで気持ちのダメージも大きいので、大切なものは身体から離さず持っているべき、という主旨のルールですね。
——それぐらい大事に、注意してパソコンを持ち歩こう、と。
猪俣先生:いま、業務用パソコンを紛失したときのペナルティは本当に重くなっています。パソコンが見つかったとしても、手元を離れている間に情報が抜き出されていることを否定できない限りは「情報漏えい案件」になります。
情報漏えいは1件のトラブルで会社が傾きかねないほど、ブランディングにも大きく関わります。個人情報に限らず、情報を持ち歩くのは、それだけリスクがある、ということなんですよ。
——そう考えると、実は「かなり意味があって、重要なルール」ということになる……?
猪俣先生:そうですね。個人情報の重みを考えたら、社員の行動は制限されるものの、妥当なルールだと思います。個人情報は、お金が盗まれるのとは違います。お金はなくなって終わりですが、個人情報は誰かがずっと持っているかもしれない怖さがあるものです。
会社は、オフィスの外では個人を管理できません。パソコンの持ち出しを制限するルールは、社員へ「社外での行動を縛るほど、個人情報を持ち歩くのは怖いことだから、注意してほしい」というメッセージだと考えるのが良いでしょう。
大企業も中小企業も、情報が漏れるリスクは同じ
——「謎ルール」、意外と意味があるものばかりで驚きました。しかし、有用なルールでも「謎だ!」と言われてしまうのはどうしてだと思いますか?
猪俣先生:まず考えられるのは、従業員の立場だと「ルール=面倒くさいから」でしょう。パスワードの定期的な変更なんて、たまったもんじゃないですよね。だからずる賢く1文字だけ変更したりするようになって、ルールが形骸化してしまうんです。
あとは、ルールの必要性が社員に伝わっていないのも理由としてあると思います。会社が説明していない場合もあれば、ITシステムの担当者が理由もわからずルールだけを作って守らせていることもありますね。きちんとした理由のもとでルールを決め、社員へ説明して理解してもらうことが大事です。
情報は「漏らしちゃったら、終わり」。大企業が狙われると思われがちですが、インターネットに繋がっている以上は、中小企業も同じリスクを背負っていることを意識すべきです。攻撃する側は、相手を選びませんから。
——大企業に勤めている人は「ルールが厳しくて面倒だ」と言いますが……逆に、ルールに守られている部分もあるかもしれません。
猪俣先生:そうですね。加えて、大企業は「セキュリティ対策がしっかりしている」ことが会社の価値のひとつになるんですよ。経営に余裕がない中小企業はそこまで手が回らないことも多いと思いますが……。
——そんな中小企業は、どのようにセキュリティ対策をすれば良いのでしょう?
猪俣先生:コストがかけられないなら、国や自治体にサポートをお願いするといいのではないでしょうか。経済産業省の機関であるIPA(情報処理推進機構 ※)や、地域によっては商工会議所や役所にもセキュリティの相談窓口が設けられている場合もありますから。
※ 独立行政法人・情報処理推進機構では、電話・メールでアドバイスを受けられる「情報セキュリティ安心相談窓口」を設置している。気になった方は相談してみては
——最後に、企業が「理想のセキュリティルールづくり」をするために、どのようなことを考えればいいのかを教えてください。
猪俣先生:セキュリティ対策では、技術的なことよりも、まずは人間心理をふまえることが大事です。
セキュリティ事故のほとんどは、人間のミスや焦りで起きています。うっかりリンクを踏んでしまったり、パソコンを置き忘れてきちゃったり。特殊詐欺がなくならないのも同じ理由です。人間は焦っているときほど、判断力が鈍ってしまうんですよね。
まずはこうした人間心理をわかったうえで、技術への正しい理解を深めていく。そうやって、企業に合ったルールを作るのが理想だと思います。
取材・文:御代貴子 イラスト・アイキャッチ:サンノ 編集:本田・木崎/なるモ編集部、伊藤 駿/ノオト
