教育も必要だがセキュリティ水準はユーザー次第？

中堅・中小企業のIT責任者が望んでいるのは、セキュリティ予算の増額よりも従業員教育だ。だが、どれほど教育してもばかなことをする人はいるものだ。

[Shamus McGillicuddy，TechTarget]

　あらゆるセキュリティ技術を欲しいだけ導入したとする。しかしその会社のセキュリティレベルは、最も愚かなエンドユーザーの水準止まりだ。

　セキュリティベンダーGFI Softwareが委託実施した調査で、中堅・中小企業（SMB）のCIOが望んでいるのはセキュリティ予算の増額ではなく、従業員教育であることが分かった。

　GFIの調査は米国のSMBのIT責任者455人を対象に、会社のセキュリティレベル向上の助けになるのは何かを尋ねた。その結果、予算増額を挙げたのは12％のみ。48％が従業員のセキュリティ意識向上を挙げ、経営幹部のセキュリティ意識向上が重要だとの回答も25％に上った。

　従業員がセキュリティ不安の要因になっているのは明らかだ。96％がウイルス対策技術を、93％がファイアウォールを導入しているにもかかわらず、自分の会社のネットワークがセキュアだとは思えないとの回答は42％だった。

　実際、米AMI Partnersの新しい調査によると、SMBの2007年のセキュリティ関連支出は2006年に比べて17％増えている。

　「エンドユーザーは最大の弱点と見なされている」と話すのは、GFIの調査研究プロジェクトリーダー、デビッド・ケラー氏。「ソーシャルネットワーキングサービス（SNS）の普及で管理者にとってますます問題が増えた。従業員は昼休みに自分のプロフィールページを更新し、ファイルをダウンロードし、リンクをクリックしている。悪質なWebサイトにつながるリンクをクリックする危険は常にある」

　ケラー氏によると、SMBにセキュリティポリシーはあっても、IT部門とエンドユーザーの意思疎通は不十分だ。エンドユーザーはポリシーの背景にある理由も、IT部門がポリシーをどう強制しようとしているかも分かっていない。

　新しい従業員には入社研修をみっちり受けさせ、ネットワークでやっていいことといけないことを説明すべきだとケラー氏は指摘する。また、ベンダーやリセラーに頼んで、特に経営幹部の啓発のため、セキュリティ問題について教えてもらうといいという。

　米Yankee Group Researchのギャリー・チェン氏は言う。「ほとんどの場合、エンドユーザーが重大な脆弱性になっているのは確かだ。エンドユーザーが技術通の人ばかりのはずはないのだから。現代の攻撃の多くは、だまされやすいユーザーがリンクをクリックすることを当て込んでいる」

　エンドユーザー教育も大事だが、それが本当に役に立つかどうかは分からないというのがチェン氏の見方だ。

　「わたしはこの問題で本当に大きな違いが出るとは思えない。あらゆる研修をしてみたところで、ばかなことをしてしまう人はいるもので、それについて打つ手はない」

　チェン氏によると、ユーザーは間違ったことをするものだという前提に立った技術をSMBは追求すべきであり、統合型セキュリティサービスや管理型サービスを提供しているベンダーを探すのが望ましい。

　「セキュリティ技術はあまりに多く、SMBは新しい脅威についていちいち調べている時間はない。必要なのは陣容を固め、すべてを処理してくれるサービスまたは機器を1つ買うことだ。この問題にはこの製品を、あの問題にはあの製品をという提供の仕方は時代遅れだと思う。SMBのセキュリティは遅れている。戦いに負けつつあるのだ。しかし現在、多数のサービスが統合されつつある」（チェン氏）

　ケラー氏は次のように言い添えた。「ウイルスやスパムの心配をするSMBはあまりに多いが、その先に目を向けることが必要だ。これから襲い掛かってくる多数の脅威に対し、先手を打たなければならない。事が起きてからでは遅い。基本的に保険の必要に迫られるだろう。セキュリティのつけは行き着くところ、経営に回るものだ」

関連ホワイトペーパー

SMB | 経営 | セキュリティ対策 | セキュリティポリシー