treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

セキュリティ担当者の本当の仕事

セキュリティ担当者はどの企業にもシステム部門に関わる役割として存在します。
今日はセキュリティ担当者は本当はこういう役割であるべき、という私の考え方を表明するという主旨のご報告です。

結論から言いますと、
「セキュリティ担当者こそ利便性を追求するべき」
というのが私の考え方です。
しかし私は利便性を優先するべき、と主張するわけではありません。

セキュリティというのは便利とトレードオフ、とは太古の昔より言われてきた常套句です。セキュリティを強化すればかならず不便になるということです。
このセキュリティを企業内で業務として遂行し形成しているのがセキュリティ担当者です。

企業に存在するセキュリティ担当者。
ユーザ部門などの外部の視点から見ると、口うるさいシステム屋のイメージが根付いているように思えます。
セキュリティ担当者は"保護"が主目的です。データ保護、環境保護、攻撃から保護、すべてセキュリティです。
このセキュリティ保護のためにセキュリティ担当者は口うるさくなりがちです。そのためユーザ部門からするとあまりよい印象を持っていることは少ないようです。
さらに特徴的になると、独善的いや独裁的なセキュリティ担当者の存在も見て取れます。きょうびの漏洩事件が世間を騒がせ企業に致命的なダメージを与えるご時世です。セキュリティ担当者が強権を行使して会社の重要データを守っているという自負で日々過ごしているセキュリティ担当者も多いことと思います。
この強権の行使が誤った形で受け取られることが多いのがセキュリティ担当者とユーザ部門のすれ違いとなりがちなポイントです。
ユーザ部門は使いにくい道具を使いやすくすることで効率を上げたい、業務量を増やしたい、掛かる時間を減らしたい、こういった需要を満たす手法自体はなかなかシンプルに実現可能なことも多いのですが、そのシンプルな方法がセキュリティというキーワードの逆鱗に触れることがいくつかあります。
こうなるとセキュリティ担当者としては黙ってはいられません。ユーザ部門に対してその手法がいかに企業のデータや環境を危険に晒すか、ということをユーザ部門に解説することになります。そうしてユーザ部門のシンプルな方法を否定し止めさせようというバイアスが働きます。セキュリティ担当者としては護られている状態を保全することが一番の利益なのです。
ユーザ部門のより便利な変化への欲求とセキュリティ担当者の護られている状態を維持する停滞の欲求とで凌ぎ合いとなります。この凌ぎ合いから話がこじれ始めます。こじれた話はどちらかが根負けするまで続きます。そして大体はユーザ部門が根負けして現在の状態を維持する方が"公式には"選択されがちです。
しかし便利な変化への欲求に我慢できないユーザは勝手に機器を設置するなりソフトをインストールして使うなりし始めます。
※最近はユーザ権限でインストールできるソフトウェアも結構増えてきているのです。システム管理者としては頭が痛い状況ですよね。お察しします。

ここからシステム部門が社内インフラ・環境がコントロール不能になり始めます。ユーザ部門が好きなように安物を家電量販店で買ってきて、勝手な設置を繰り返した結果、システム部門が管理しているインフラに影響を与え始め、結果としてどこかの綻びからセキュリティ侵害が発生したり、障害が発生しているが対処が一向に進まない(そもそも勝手に設置されている存在を知らないから問題が絞り込めない)という悪循環に陥ります。
例えば、社内LANに家で余ってるAP繋いで弱い鍵でSSID吹いて野良AP化した、とか、社内LANで管理者が知らないDHCPが動作しているから勝手なIPが割り振られるようになっているとか、LANケーブルがループしてブロードキャストストームが発生するとか、です。

この問題はどこにあったのでしょうか?

簡単に言えば、セキュリティのキーワードとしてデータや環境を保護する=企業を保護する、これが正論なのはユーザ部門としても理解できているはずです。
ところが、自分たちが黙って勝手に設置したりインストールしたりすることが。セキュリティ担当者が日々心を砕いて必至で護っているデータや環境を侵害することになるとは夢にも思わないわけです。そもそもセキュリティ担当者の説明が難しすぎて話の内容を半分も理解できていません。(おそらく)

ユーザの納得を引き出す、というのはセキュリティ分野ではかなりのハイレベルです。脅威を並べて不安を煽って諦めていただくのが一番早い、というのは現実として理解できます。気持ちも分かります。

セキュリティに対する穴(セキュリティホール)はベースになるセキュリティが理解できていなければその行為が穴になり脅威となる、ということが理解できない、という一面があるというのがその理由です。つまりセキュリティを理解していない状態では、いまやろうとしていることがセキュリティを侵害することだ、と理解することはほぼ不可能だということです。概ねユーザ部門は「セキュリティとは何か、を理解することは諦め、セキュリティ担当者を信用するかどうか。」によって○×の判断を下しています(おそらく)
つまりセキュリティ担当者の言を信用して諦めているわけです。
ですがこのセキュリティ担当者がユーザ部門から見て、信用置けなかったり、仲が悪かったり、もっと言えば対立関係にあれば、この関係性は崩れてしまいます。ここに落とし穴が一つあります。(あくまでもユーザ部門から見て、です。)

仕事上出会うセキュリティ担当者のうち、概ね5人に1人くらいは、セキュリティ用語を並べつついかに自分がセキュリティについて正しいことを述べているかを演説し始めます。そして変化を「あたかも間違った認識である」かのように批判し始める担当者がいます。ユーザ部門が閉口するのはなんとなくわかります。(ひどいセキュリティ担当者だと、その"演説"のベースにある技術解説が間違っていることがあります。)

しかしながら。
だからといってユーザ部門が勝手にやっていいわけではありません。システム部門が考え抜いて苦労して作り運用している社内システム環境を土足で踏み荒らすようなものです。これをしていいわけがありません。

この対立構造を防ぐために提言したい話が、冒頭に記載しましたが
「セキュリティ担当者こそ利便性を追求するべき」
という考え方です。
これはユーザ部門の利便性を優先するわけではありません。ましてやユーザ部門の言いなりになる必要はまったくないのです。セキュリティ担当者とユーザ部門は対等であるべきです。

ユーザ部門はインフラの全体像やシステム・技術を知らないのですから、その利便性に対するリスクには目を向けません。
ここはプロであるセキュリティ担当者の出番です。
セキュリティ担当者であれば、リスクは分かります。そのリスクを理解できていれば極小化するための対策も(おそらく)頭ではイメージできています。
変化の拒否が習慣となっているセキュリティ担当者はこの「頭の中にあるイメージの対策」を遂行することは利にならないことが多いのだろうと察します。こうしてセキュリティ担当者にとっての最上対策は「なにもやらないこと」が選択されます。何もやらないようにするためにセキュリティについての高説といかにそれが危険を孕んでいるか、そしてこれを諦めるべきだ、と論じ「難しいセキュリティ理論に帰依することで現状維持すること」を達成しようとします。
※これは私も若い時にはたまにありましたからよくわかります。
この思考になったとき最終的な「何もやらないこと」を選択せず「頭の中にあるイメージの対策」を遂行してもらいたいと思います。たとえ利がないと思っても、何も成果が残らないと思っても、くたびれもうけでも、それを選択する価値があります。

ユーザ部門が「セキュリティ担当者は我々の言を聴いてくれた。」という事実が重要なのです。何もやらずに諦めさせられるのとは天と地の開きがあります。


ユーザ部門の考える対策やセキュリティに関する知識は確かに稚拙かもしれませんが、やりたいこと・達成したいこと・目的とすること、これは稚拙かどうかを判断する必要はないと思います。(それを判断するのはセキュリティ担当者の役割ではないからというのが私の考え方です。)
企業内で一番のセキュリティに精通する担当者として、稚拙な対策を企業内で使えるレベルにまで引き上げるのはプロの仕事です。そうです、重ねて言いますがセキュリティ担当者は情報保護のプロだとユーザ部門は見ています。
インストールしたいソフトがセキュリティ侵害のリスクを含んでいるのであれば、別のソフトで同じ需要・目的を達成できるよう構成する
、とか、
設置したい機器がセキュリティ侵害のリスクがあるのであれば、我が社のセキュリティレベルを維持するためにはこのくらいは必要と正しい製品を選定する
とか、そういうことです。
ユーザ部門はやりたいこと・目的、をこうすれば達成できる、というところまで考えてセキュリティ担当者にお伺いを立てがちですが、本来はやりたいこと・目的を究極に洗練して、そのやりたいこと・目的を達成する手段は社内のプロに任せるべきです。ツール・道具を選択して具体的にやりたいこと・目的を達成できる機能まで昇華させるのはユーザ部門ではなくシステム部門の腕の見せ所です。
そしてこの昇華させるプロセスの中で、「安全なシステム」を実現するプロがセキュリティ担当者です。
利便性と安全性の両立を達成できるのはセキュリティ担当者だけです。

セキュリティはやり始めるとコストが青天井に掛かってしまう性質があります。悪意を持っているユーザが諦めるくらいの安全性を確保しつつ、ユーザ部門の利便性を高めるためのセキュリティ対策を両立させることがプロのセキュリティ担当者だと思っています。否定は簡単なのです。実現が難しい。
ですが、セキュリティをキーワードに保護機能を究極に高めることに力を注ぎがちになってしまうことが往々としてあります。
現代だからこそセキュリティ担当者はユーザ部門を向くべきだと思います。
BYODが流行りになりつつあります。業務の私物利用を禁止していたはずの企業がBYODが流行り始めるとコスト削減効果を狙って業務に私物利用を推進しはじめてきました。
この私物利用の流行はなんなんだろう、と個人的には思うところもあるのですが、現実としてBYODは流行しています。
でもこの流行の波に乗れず、社内のセキュリティ担当者が置き去りになっていることはないでしょうか?ご自身がセキュリティ担当者で社内のBYODの流れの中で自分がやらなければならないことを見失っていないでしょうか?
BYODが流行ったあとに、敢えてBYODで実現可能な効果を捨てて社内でリソースを再調達した企業の事例もあります。
これらの流れから分かるのは結局のところ、企業のデータが安全な状態かが分かるのはセキュリティ担当者しか社内にはいません。セキュリティ担当者を置き去りにしてBYODを進めてもリスクに目を閉じているに過ぎない動きだと考えてます。

いまこそセキュリティ担当者は閉じこもっている殻を破って、ユーザ部門の利便性をセキュリティと両立できる、と考え直す時だと思います。前時代的な禁止、禁止を唱えるセキュリティから「利便性を最大限引き出す保護機能こそセキュリティ」に転換し、コストセンターからの脱却をはかってもらいたいと心から思います。

何とか達成させてあげたい、と悩んでくれている姿はユーザ部門はしっかり見ています。