よく、セキュリティの強度とは、鎖のようなものだと説明される。いくら太く強い鎖がつながっていても、一箇所弱くてもろいところがあればそこから切れてしまう、つまり、一箇所の弱いところが全体の強度になってしまうということだ。

　これまで考えてきたコンピュータウイルスの話では、たとえば有線LANはきっちり外部からの侵入を防いでいたのに、無線LANアクセスポイントが解放されていてウイルスの侵入を許した、あるいは、社内LANへの侵入路が塞いでいたのに、直接インターネットに接続するPHSが穴となり社内にウイルスがはびこってしまった、というような例を紹介した。これらは、いわばネットワークというシステムを鎖とみなしたときの、狙われた弱点だ。

　さて、システムというものは、装置、さまざまな装置の構成、さらにはシステムを運用する人たちから成っている。ここまで装置よりの方を見てきたので、今回は少し視点を変えて人よりの部分について考えてみよう。

■人の面での穴をふさぐ「セキュリティポリシー」

　アンチウイルスソフトを入れる、不用意にインターネットからのデータを受けるようなサービスを使わない、ポートを開けない、という対策はウイルス予防に欠かせない作業だ。しかし、周りを見回してみて、「人」が原因でこの必要な措置をしていない、というケースはままあるのではないだろうか。

　家族で1台のPCを使っていてセキュリティ関連はすべてお父さんが管理しているというような場合はいいだろうが、複数の台数のPCを使っている場合、なかなか1人が責任をもって管理するということはできない。特に職場で従業員それぞれにPCが与えられている、ような場合は中には大抵ひとりくらいはセキュリティに無頓着な人がいるものだ。あるいは、管理者が異動してしまって、みんながファイルを入れているためにそのまま使っているが誰も管理してないファイルサーバー、というような管理の甘くなったサーバーの類があったりするかもしれない。このようなマシンが最初にウイルスに感染し、また、ウイルスの駆除が遅れて、後々までウイルス感染源となったりするわけだ。

　家族のような場合はいいが、一般的に言って、会社や団体、学校など人数が多くなればなるほど、このようなケースは多くなってくる。確かにウイルス対策は面倒なのだが、だからといって何もしないでいられたのでは、周りに迷惑がかかる。そこで、同じネットワーク内の利用者が歩調を合わせてウイルス対策できるように、ある程度以上の規模のネットワークを運用する場合は「セキュリティポリシー」「セキュリティ標準（セキュリティスタンダード）」を決めて、運用するのが一般的だ。

■セキュリティポリシー、セキュリティ標準とは

　セキュリティポリシーとは、このポリシーでなぜ、何を守るのか、その責任を負うのは誰か、そのための体制はどのようにするのか、といった方針を立てた文書、セキュリティ標準は何をやっていいのか、いけないのか、なにをしなければいけないのかということを具体的に説明したガイドラインだ。

　たとえば、「ネットワーク内でのでウイルスを予防する」ということを目的にするとしよう。セキュリティポリシーには以下のような規範、罰則規定を盛り込む。

• 情報ネットワークのセキュリティの最終的な責任者は組織の責任者である
  
• 責任者はセキュリティポリシーを理解、支持して、マネジメントを遂行する
  
• メンバーがセキュリティポリシーに違反した行為を行なった場合には、人事規定に基づいて処罰を行なう

　さらに、以下のような内容をセキュリティ標準に記載するわけだ。

• 各自が使うPCにはウイルス対策ソフトを入れること
  
• 使用ソフトのセキュリティホールをふさぐために、定期的にアップデートを行なう

会社や団体など、多数のユーザーがいる環境でセキュリティの徹底を図るためには、セキュリティポリシー、セキュリティ標準を制定するのが一般的だ。標準にはウイルス対策標準のほかにも、メール使用標準などポリシーにしたがった具体的な対策方法を記載した標準が決められる

　このような規定を決めておき、そのネットワークを使う組織、会社や団体の責任者の名前で発行する。セキュリティポリシーではセキュリティ関係のルールが人事規定などとリンクし、ほぼ同等に扱われることを宣言する。つまり、もし破った場合は、懲戒、退会となる可能性もあることを宣言することで、関係する誰もがこの規定から逃げられないようにする。その上で、全員にウイルス対策をすることを課することで、「鎖」の弱い部分をなくそうというわけだ。

　ちなみに、ウイルス対策に限らず、たとえばコンピュータセキュリティに関して、メールを利用するのであればその使い方や禁止事項を盛り込んだ「電子メール利用標準」、会社でWebサーバーを社外にも公開している場合は「外部公開サーバー標準」などの標準も、ウイルス対策と同様にセキュリティポリシーに基づいて作っておくのが普通だ。

　もちろん、セキュリティポリシーは作るだけでは実効は期待できない。その周知徹底や、ネットワーク参加者全員への具体的なウイルス対策の方法の教育が必須であることは言うまでもない。

■セキュリティポリシーは「トップ」から

　セキュリティポリシーで一番注目したいのは、ネットワークだけを見ているネットワークの責任者ではなく、企業の場合は経営者など、「ネットワークを利用する組織のトップの名前」で発行する、ということだ。

　というのも、まず、ひとつの理由としては、先にも挙げたように、ウイルス対策しない人を出さないようにするためだ。ウイルス対策ははっきりいえば面倒だ。ウイルス対策するためにコンピュータを使っているわけではない、という気にもなるだろう。会社などの組織の場合は、たとえば、実際にネットワークを管理する部署はウイルス対策を取らねばと考える一方、ネットワークを利用するだけの部署は「業務の効率が落ちる、そんなことにお金や人はかけられない」などということで反対し、部署間の対立になることすらあるだろう。

　セキュリティというのは失敗すればウイルスがはびこる、ネットワークが混乱するなどの問題が起きるが、うまくいっているときは「何も起こらない」ときだ。つまり、うまくいっていてもそれが当たり前に思えてしまい、なぜそれを達成するための努力が必要かといった理解が得られにくい。場合によっては、露骨に反発されることすらあるはずだ。

　そうなれば、やはりメンバー全員に強制できるのは、コンピュータだけでなく、組織全体を管理する人、責任者、たとえば会社で言えば経営陣しかありえない。

　もう1つの「セキュリティポリシーは組織のトップの名前で発行する」ことの理由は、コンピューターセキュリティは、実はネットワーク管理者やPCのユーザーだけの問題ではないから、ということがある。

　そもそも、コンピューターがウイルスに感染してしまうと、何が問題なのか。

　まず、感染したユーザーのPCがまともに機能しなくなる。それから、ウイルスがネットワークを輻輳させ、他のコンピュータの通信ができないようにするなどのトラブルが起こる。これはLAN内だけの問題ではなく、インターネットに接続している場合は、インターネット上のほかの組織のネットワークを止めてしまうことも考えられる。

　他人にウイルスを感染させてしまう最初の発生源はわからなくても、ルータやファイアウォールのログをチェックすれば、自分に向けられたウイルスが誰にばら撒かれたかくらいはわかる。感染させられそうになった人には、誰が自分のPCを感染させようとしたかがわかるのだ。

　つまり、自分（またはウイルス感染した自分の組織）が他のネットワークに迷惑をかけてしまう、なおかつそれが相手にバレバレになってしまうのだ。ウイルス対策を取る人も多くなってきた。ウイルスは対策できて当たり前になりつつある。自分の組織でそれができず、他の組織や会社や取引先、消費者などに感染させてしまうと「あの会社からウイルス感染させられた」「あそこはウイルス対策もできていない」と、自分の組織の信用を失墜させるようなことにもなりうるだろう。

　前々回、官庁や銀行でウイルスを蔓延させてしまい、損害賠償や契約解除になりかねない事態になった出入りのシステム業者の話を紹介したが、このケースなどは会社への直接的な金銭的ダメージもかなり大きいはずだ。

　このように考えてみると、実は、コンピュータが仕事やさまざまな世の中を動かす仕組みとして使われている現在では、コンピュータウイルスは、単にコンピュータのトラブルというだけに止まらず、金銭的問題や信用問題に発展してしまう。ひとたび何か問題が起こった場合には、ネットワーク管理者や利用者だけでは対処しきれない問題になることもあるだろう。

　そういう意味でも、組織自体の責任者がネットワークセキュリティにも最終的な責任を負う、というのは非常に大事なことなのだ。

　組織のトップの名前を使うことにしり込みする責任者も多いかもしれない。しかし、それができなければ自分には負いきれない責任がのしかかってくる可能性があるのだから、ネットワーク管理者は必死で経営陣を説得したほうがいい。筆者も直接そのような業務に関わるわけではないが、その必要性は強く感じる。機会がいただけるなら、最優先で企業の経営者向けにセキュリティの必要性を訴える記事を書かせていただきたいと思うほどだ。

　ウイルス対策も含めて、コンピュータのセキュリティ対策は、「リスク管理」という側面が非常に大きくなる。

　ウイルス感染を予防しよう、何もトラブルがないようにしようと、いろいろ対策を施しても、コンピュータにも、ネットワークにも、そしてもちろん人間にも、「絶対」はありえないし、トラブルは起こりうる。

　であれば、「起こらないように努力する」ことも大事だが、「万一の場合、どのようなトラブルが起こるのか」を想定しておき、それに対して被害が小さくすむように、致命傷にならないように準備をしておく、ということも必要なのだ。

■実際にセキュリティポリシーを策定するには

　なんだかギスギスした話になってきたが、コンピュータメーカーや大きな会社だけではなく、コンピューターを使っている会社，団体、学校、お店、中小の会社などでもセキュリティポリシーやセキュリティ標準を作ることは、ウイルス対策には非常に有効な手段ではないかと筆者は思う。

　さて、そのセキュリティポリシー、セキュリティ標準をどのように作るかだが、経営陣や、部門間がお互いに納得できるように、それぞれが打ち合わせ、策定、レビューを行なうことになるだろう。企業などで本格的にやる場合は外部からコンサルタントなどを呼び、情報セキュリティマネジメントシステム（ISMS）の認証を受ける、などということも視野に入れて考えることになる。

　ただし、こうした諸般の事情を考え合わせて、一からセキュリティポリシーを作っていくのはかなりの難作業になる。そこで、既にあるセキュリティポリシーを参考にすると作業がスムーズに進むことが多いだろう。

　たとえば、NPO日本セキュリティネットワーク協会（以下JNSA）という団体が、情報セキュリティポリシーのサンプルをWebで公開している。

セキュリティポリシーや、さまざまなセキュリティ標準のサンプルが掲載されているNPO日本セキュリティネットワーク協会（JNSA）のサイト

　JNSAサイトでは、セキュリティポリシー、ウイルス対策標準だけでなく、外部向けサーバー標準、PC設置の標準から、インシデント報告標準までサンプルが掲載されている。

　コンピューターセキュリティに関心があるならば、実際に企業や団体のポリシー、標準を作る立場になくても、どういうものか見ておくだけでも、参考になる文書が多い。

■	URL
	日本セキュリティネットワーク協会 http://www.jnsa.org/policy/guidance/index.html

大和 哲 1968年生まれ東京都出身。88年8月、Oh!X(日本ソフトバンク)にて「我ら電脳遊戯民」を執筆。以来、パソコン誌にて初歩のプログラミング、HTML、CGI、インターネットプロトコルなどの解説記事、インターネット関連のQ&A、ゲーム分析記事などを書く。兼業テクニカルライター。ホームページはこちら。 (イラスト : 高橋哲史)

- ページの先頭へ-

Internet Watch ホームページ

Copyright (c) 2003 impress corporation All rights reserved.