IMセキュリティ対策を講じるのはCIOの責任：Column

雇用者にとって電子メールの扱いは難しい問題だ。そこにIMが加わるとなれば、事態はさらに厄介になる。

[TechTarget]

　従業員が社内でインスタントメッセージング（IM）を使用することにより企業が直面するセキュリティ／コンプライアンス／ライアビリティー（法的責任）上のリスクについて、CIOは認識を深める必要がある。

　企業では最近、IMの利用が草の根的に広まっている。従業員はAOLやヤフー、MSN、そして最近ではグーグルから、パブリックネットワーク用のIMクライアントをダウンロードし、広く仕事のコミュニケーションに利用するようになっている。好むと好まざるとにかかわらず、IMは非常に有用なビジネスプロダクティビティツールになり得る。

　調査会社オスターマンリサーチの代表、マイケル・オスターマン氏によれば、IMでは、リアルタイムで連絡を取れる相手を確認できるため、ユーザーは質問の回答をより迅速に得ることができる。「IMは各種のWeb会議機能の基盤でもあり、ユーザーは共有ホワイトボードやアプリケーション共有などの機能を使ってアドホックな会議を構築できる」と同氏。

　IMを仕事に活用するメリットは明らかだ。ただし、リスクも同様に明らかだ。

　従業員が社内でインスタントメッセージング（IM）を使用することにより企業が直面するセキュリティ／コンプライアンス／ライアビリティー（法的責任）上のリスクについて、CIOは認識を深める必要がある。

　企業では最近、IMの採用が草の根的に広まっている。従業員はAOLやヤフー、MSN、そして最近ではグーグルから、パブリックネットワーク用のIMクライアントをダウンロードし、広く仕事のコミュニケーションに利用するようになっている。好むと好まざるとにかかわらず、IMは非常に有用なビジネスプロダクティビティツールになり得る。

　調査会社オスターマンリサーチの代表、マイケル・オスターマン氏によれば、IMでは、リアルタイムで連絡を取れる相手を確認できるため、ユーザーは質問の回答をより迅速に得ることができる。「IMは各種のWeb会議機能の基盤でもあり、ユーザーは共有ホワイトボードやアプリケーション共有などの機能を使ってアドホックな会議を構築できる」と同氏。

　IMを仕事に活用するメリットは明らかだ。ただし、リスクも同様に明らかだ。

　オスターマン氏によれば、IMは不正なプロトコル、ワーム、ウイルスなどの脅威をネットワークにもたらしかねない。IMでは、自分のメンバリストに仲間や知人を登録しなければならないため、IM相手としてメンバーリストに登録されているユーザーは「信頼できるユーザー」と想定される。だが、例えば、ユーザーのメンバーリストに登録されているIM相手のうちの誰かがワームに感染した場合、そのユーザーはワームが作成したメッセージをそうとは知らずに開いてしまい、自分のメンバリスト中にそのワームを広めることになりかねない。

　IMはこうした明らかなセキュリティリスクのほかにも、さらなる頭痛の種を企業にもたらす。

　調査会社イーポリシーインスティテュートの創業者で常務取締役のナンシー・フリン氏は、「職場でIMを利用するのであれば、電子メールと同様、電子的なビジネス記録が生じることになる」と指摘している。そうした記録は、コンプライアンスの点からも、ライアビリティーの点からも、保守しなければならない。

　「昔ながらの紙の記録であろうと、電子記録であろうと、裁判所は区別しない。重要なのは内容であって、その内容を作成したツールではない。IMは既に訴訟の証拠として使われている。今はまだ電子メールほど普及していないが、いずれはそうなるだろう」と同氏。

　多くの企業はIMの使用を許可しており、なかには奨励している企業さえある。そして、エンタープライズIMソリューションを導入していない企業は、社員が一般用のIMクライアントをダウンロードすることを許可している。

データをクリーンに

　専門家によれば、CIOはまず自社の従業員がIMを使っているかどうかを把握する必要がある。もし使っているようならば、CIOはIMのセキュリティを確保し、IMの内容を保存記録するためのツールとして、IM向けの“ハイジーン”（ウイルス予防）技術の導入を検討すべきだ。

　アコニックスシステムズなど多くのIMセキュリティベンダーは、企業のファイアウォールの外辺部を通過するIMトラフィックを探知し、そうしたIMメッセージにウイルスなどのマルウェアが含まれていないかを検査し、コンプライアンスとライアビリティーのためにその内容を保存するためのアプライアンスを提供している。

　IMセキュリティベンダー、アコニックスのマーケティング＆顧客サポート担当副社長ドン・モンゴメリー氏によれば、同社は最近、IMの使用について300社を対象に調査を行ったという。

　「調査した企業のうち11％は何かしらIMセキュリティ対策を講じていた。46％は、そんなことを考えたことすらないと答えている」と同氏。

　イーポリシーインスティテュートのフリン氏は、雇用者にとって電子メールの扱いは難しい問題だと指摘している。「そこにさらにIMが加わるとなれば、事態はさらに厄介になる」と同氏。

　フリン氏によれば、問題の大きな部分を占めるのは無理解だという。IMなど各種の最新技術についての上層幹部の認識と、従業員によるそうした技術の実際の使用状況には相当の落差がある、という点については、ITマネジャーだけでなく、人事マネジャーやコンプライアンス責任者さえもが指摘している。

　「“エンタープライズIMは提供していない。だから、IMは使われていないはずだ。よって、対策を講じる必要などない”というのが上層幹部の認識だ」とフリン氏。

　映画チケットなど各種イベントのオンライン販売業者であるファンダンゴのITマネジャー、エリック・グルーバー氏によれば、CIOの間では、セキュリティとコンプライアンスの脆弱性に対する意識は高い。だが、IMセキュリティ技術への投資の必要性について社内のほかの幹部らに納得させられるかどうかとなると、また別問題だ。

　グルーバー氏によれば、IMが多くの問題を引き起こしかねないというのは、少なくともITマネジャーの間では周知の事実だ。だが、そのほかの部門ではどうかと言えば、話はまったく別だ。そうした部門はIM用のセキュリティ製品に投資する意義を理解できず、気付いたときには手遅れということになってしまいかねない。

　「強力なウイルスに襲われて、ようやく問題が認識される。こうした通信製品はリスクが見過ごされがちだ」と同氏。

　ファンダンゴでは現在、IMメッセージのセキュリティ対策と保存にアコニックス製品を使用している。グルーバー氏によれば、同社のCEOは早い時期から、通信ツールとしてIMの使用を奨励していたという。だがIMのセキュリティについては当初、特に注意は払われなかった。

　「私はこの会社に入ったときから、ずっと懸念していた。残念ながら、実際に問題が生じるまでは、IMのセキュリティ対策に予算を投じようという動きは起きなかった」と同氏。

　グルーバー氏によれば、同社ではあるとき、従業員同士がIM上で“不適切と思われる”内容の会話を交わしていたことが報告されたという。だが当時はIMメッセージを保存していなかったため、その会話が実際に行われたかどうかを証明する術がなかった。この事件がきっかけとなり、ファンダンゴは行動を起こした。だが同社は、製品を導入する前にAIMを介してウイルスにより攻撃された。

　「社内のAIMユーザーの誰かが狙われたのだろう。ウイルスは急速に広まった」と同氏。

　グルーバー氏によれば、社内のIMの利用について検討中のCIOはまず、社内でIM技術を使用する必要性が本当にあるのかどうかを判断すべきだ。「ビジネス上のニーズがあると判断したのであれば、中途半端はだめだ。アコニックスなどの技術でセキュリティ対策を万全にしなければならない。さもなければ、自社を攻撃にさらしていることになる。あるいは、業務上の秘密や、そのほかIMで話題にすべきではない各種の情報について社員らが監視もされずに自由に会話できることになりかねない」と同氏は指摘している。