利便性とセキュリティ
「セキュリティが厳しくなって業務効率が落ちた」
「前はやらなくてよかったことがセキュリティ強化のせいで仕事が増えた」
このような声が社内で跋扈することは珍しい話ではありませんが、情報セキュリティを重視する立場の情シスにとっては実に悲しいことです。
かくいう私自身もそのような声を耳にしたことはありますし、自分自身の心の声でも『このセキュリティ強化を導入すれば業務の効率が下がるのではないか?』と自問することだってあります。
今回の記事では相反しがちな利便性とセキュリティについて考えてみます。
情報セキュリティは誰のため?
そもそも情報セキュリティがなぜ必要なのか、誰のために強化するのか考えたことがあるでしょうか。
これには「ウィルスに感染しないため」とか「情報資産を守るため」など色々な意見が出てくるかもしれません。
私にはセキュリティ強化の目的として揺るぎない1つの考え方があります。
それは社員が安全で安心して日々の業務を遂行できる環境を実現することです。
私の中でセキュリティについて自問するときにはこのことをいつも意識します。
そして「なぜこんなことをするのか」と問われると、ほぼ必ず上記の考えを伝えてから細かい話に入ります。
この記事では利便性とセキュリティについて色々考えていきますが、まずは私が考えているセキュリティの目的について表明しておきます。
この目的に近づけるのであれば、例え従業員に不便を強いることになろうともその不便さは私にとってセキュリティ投資のようなものです。
逆に事業継続に悪影響を及ぼしかねない過剰なセキュリティ投資は、社員が組織で働くにあたって不安材料となってしまうため私にとってはタブーな施策です。
不便になるとはどういうことか
セキュリティを強化すると不便になるとはよく言われることですが、そもそも不便になるとは一体どういうことなのか考えてみます。
私が考える不便さとは、何か達成したいことがあるときにかかる時間や作業負荷が以前より増えてしまったときです。
例えば普段通勤に利用している電車になにかアクシデントがあって遅延したり、いつも通っていた近所のスーパーマーケットが潰れてなくなったりすると不便と感じます。
これはどちらも”電車で目的地に移動するための時間”や”食料品を得るためにかかる時間”が以前より長くなってしまうことでもあります。
また、逆に何か達成したいことにかかる時間や作業負荷を軽減する別の方法を想像したときに不便と感じることもあります。
例えば”車があれば好きな時に好きな場所へ行けるのにな”とか”田舎に住んでいると大きな病院が遠くて不便だな”などです。
これらは車があればより短い時間で目的地にたどり着けたり、都会に住んでいれば大きな病院にも短い時間で通うことができるかもしれないからです。
このように不便になるとは何かを達成するのに時間や作業負荷が前より増えているか、減らす方法が別にあって何かの制約がありそれができないときに不便と感じるようです。
常に利便性とセキュリティは反比例するか
「セキュリティを上げると利便性が下がる」とはよく言われるフレーズです。
色々なセキュリティ関係の記事でもそういわれることがありますし、まるで何かの定説のように当然の現象と考える方もいます。
しかし私にとってこのフレーズは結果でしかなく反例はいくらでもあると考えています。
特に何の理由もなく1+1が2であるかのように、いつ何時においても利便性とセキュリティが反比例する関係は成り立つと考えている方には異論を唱えたい気持ちです。
セキュリティを強化した結果として利便性が下がる場合があることは認めますが、全ての場合に当てはまるとは全く思いません。正直、体感で5割程度ではないかと思います。
反例として、スマートフォンなどに普及している指紋認証や顔認証システムがあります。
かつてのガラケー時代に備わっていたセキュリティといえば、せいぜい数字4桁程度のものでした。今では考えられないゆるゆるな仕組みです。
それがスマホ時代においては指紋認証や顔認証を使えば、長いパスコードやパスワードを毎度毎度入力する必要もなく、すぐにスマホの操作を始められます。
モバイル機器を操作するために必要な手間が減っているので、まさしく利便性が向上したと言えるでしょう。
ではガラケー時代と比較してセキュリティは低下しているのでしょうか?
これに同意する人はおそらくいないでしょう。たかだか数字4桁程度の認証システムと生体認証システムのどちらがセキュリティ的に強いのかは火を見るよりも明らかです。
似たような事例は他にも思い浮かぶことでしょう。このことからも、「常に利便性とセキュリティが反比例する」という考え方には異を唱えます。
不便と感じる例外
先ほど、不便に感じるとは” 何かを達成するのに時間や作業負荷が前より増えているか、減らす方法が別にあって何かの制約がありそれができないとき ”と述べました。
しかし、実はこれには例外があります。
例えばあなたが通勤に車を使っているとしましょう。法定速度60km/hで車の少ない一般道路を走っているとします。
30kmの道のりだとすると約30分で目的地に到着することになりますが、仮に時速120km/hで走行すれば15分で到着します。
ですが大多数の人は「120km/h出せば15分で到着するのに60km/hでは30分もかかってしまう、不便だ!」とは考えないわけです。
もっと言えば200km/hで走れば9分で到着します。でも私たちは「120km/hでは15分もかかる、不便だから200km/hで走って9分に短縮しよう」とは考えないでしょう(少なくとも一般道路では)。
なぜこういう場合は不便だと思わないのか。
その答えはとても簡単で、200km/h出せば事故を起こして痛い目に合うか死んでしまうことが分かっているからです。
このように、例え時間や手間を短縮できる手段が別にあったとしても損害や損失が起きうることが理解できていれば不便とは思わないということが見えてきます。
どうして「不便になった」と責められるのか
例えば、今は特に制限していなかったUSBメモリの利用を禁止するというセキュリティ強化策を実行したとしましょう。
そうするとユーザーの方から「USBメモリが使えなくて不便だ」と責められるかもしれません。
ではなぜこのような意見が出てきてしまうのか、これまでを踏まえて考えてみます。
リスクと引き起こされる損害や損失を理解してもらえていない
先ほど、” 例え時間や手間を短縮できる手段が別にあったとしても損害や損失が起きうることが理解できていれば不便とは思わない ”と述べました。
これはつまり車の運転で言うところの事故やケガのリスクを理解できていれば無茶な運転はしないということでした。
今回のUSBメモリ禁止の場合で考えると、”重要なデータの入ったUSBメモリを紛失した時に起きうる損害や損失を理解してもらえば不便とは思わない”と言えます。
ではUSBメモリを紛失した時の損害や損失とはなんなのか。
もしメモリの中に個人情報データが入っていれば、紛失の件を対象者に連絡しなければなりません。保護委員会への報告も必要でしょう。
会社ブランドの失墜にもつながります。下手をすれば”そんな情報管理の甘い会社には発注できない”という可能性だってあり得ます。
紛失した本人の人事査定にも影響します。始末書を書かされたり規模によっては減給や降格だってありえます。官公庁では珍しい話ではありません。
これらの損失が起きうることを考えると、少なくとも私自身は会社データの入ったUSBメモリなんて持ち歩きたくないと思っています。スマホよりはるかに小さい媒体1本紛失しただけでこれだけの損失が起きうるのです。
こんな爆弾のような存在を使わないことに対して、不便だなどとは一切思わないわけです。
我々情シス部門はこういったリスクを考慮してUSBメモリの制限をするわけですが、ユーザーにもリスクを説明し理解してもらえれば”不便になった”とは思わないでしょう。
セキュリティ強化そのものが業務を阻害している
先のUSBメモリの例で考えると、そもそもUSBメモリを使って何をしようとしているのかを把握することが大切です。
例えばデータをPCから別のPCに移動させることが目的でUSBメモリを利用していたとしましょう。
そこにUSBメモリの利用禁止を導入したとします。するとユーザーはPCからPCへデータの移動をすることができなくなってしまいます。
このデータ移動が業務上必要な作業であるとするならば、やはり代替手段というものを準備してあげる必要があります。
本来、セキュリティの目的は”社員が安全で安心して日々の業務を遂行する環境を構築すること”ですが、セキュリティ強化によって業務上必要な作業の阻害要因になってしまっています。
これでは目的に反しますので、USBメモリよりも安全に業務を遂行できる手段を準備することが重要です。
例えばデータ移動用の共有フォルダを準備したりデータ交換用の仕組みを導入することがあたります。
そういった環境を準備したうえでUSBメモリの禁止制度を導入することが私にとっての理想です。
ところが、もしかすると「USBメモリ使えなくて共有フォルダを使わないといけなくなったから不便だ」などと言われるかもしれません。
そんなときはこう答えましょう。
引き出しからUSBメモリを取り出してデータをコピーして安全な取り外しをする作業と、共有フォルダにコピーするだけの作業のどちらが不便ですか?
厳しい意見にどう向き合うか
それでも中には頭ごなしに「セキュリティのせいで不便になった」と感じる方はいます。
そんなときは最初に表明したセキュリティの目的を思い出してください。わたしたち情シスがやっていることは安全で安心できる環境の構築です。
セキュリティを強化することは警察の存在とよく似ています。
日本は諸外国に比べて治安のよい国だと言われることが多いです。街中を歩いていても安全でいられますし、突然銃乱射事件に巻き込まれるような心配はしなくてよいのです。
これには国民性によるものも少なくないとは思いますが、やはり日本の優秀な警察機関の存在は大きいものと思います。少なくとも優秀な法執行機関が存在しない国と比べると安全で安心していられます。
このように犯罪から身を守ってくれる存在の警察ですが、当然ながら私たちの行動を制限している側面もあります。
この点においてセキュリティとの共通部分があります。セキュリティ強化によって安全で安心な環境を提供しますが行動を制限することもあります。しかし行動を制限するからといって必ずしも不便には直結しないことはこれまで述べたとおりです。
そして「警察がいなければスピード違反の切符を切られなかったのに!」と憤る人がいるのと同じように「セキュリティの強化さえなければもっと早く仕事ができるのに!」と考えてしまう人はどうしても一定数存在します。
そういう意見に直面してしまったとき、私はめげずにセキュリティの目的を思い出してやり過ごすことにしています。
社員の業務遂行の安全と安心が脅かされるようなことは決してあってはならないでしょう。