そのセキュリティ対策、形骸化してませんか？

標的型攻撃への対策をはじめとして、セキュリティ対策関連のシステムやサービスは幾つもあります。セキュリティ担当者としては、どれを選べばいいのか迷うところです。導入に際して、機能や価格で比較することは当然されると思いますが、それ以上に考えたいのが、「導入後の運用方法」についてです。

というのも、セキュリティ対策のシステムを入れたはいいが、結局使わなくなった。というところは意外と多いからです。

セキュリティ対策システムのパンフレットなどを読むと、「悪意のある攻撃や情報漏えいなどから会社を守れるようになって安心できる」と、バラ色の未来を想像してしまいがちですが、実際にはそうではありません。

セキュリティ対策のシステムを導入するということは、情報の「入口」と「出口」に「ゲートを設ける」ということに他なりません。ゲートを設ければ、そこで必ず立ち止まらなければならないことになり、場合によっては、入ったり出たりすることができなくなることになります。

「早く出たいのに出れない」「入ってもいいのに入れない」「出てもいいのに出れない」といったことが、業務を行う上での不便、従業員の不満といったものに繋がっていき、結局、チェックルールを緩めざるを得なくなって、システム自体が形骸化していくというのは、結構ありがちなことです。

こうなってしまう根本的な原因は、「システム上を流れるデータそのものは、何らの意味も持っていない」ためです。

例えば、「顧客情報データが社外に出ていく」というケースでは、それが社員の不正行為によって送付されているものなら流出を止めないといけませんが、社員が正当な業務の一環として送付しているものなら、止めてしまうことによって「データが送れない」といった障害となってしまいます。

データを送ることが正当な行為なのか、不正な行為なのかを判断するには、リアルな世界（オフライン）での情報も必要であり、リアルな世界に存在する情報を得ることができないシステムに正しい判断を求めても、「それは無理」というものでしょう。

技術が進んでいけば、いずれはシステムにお任せできる時代が来るのかもしれませんが、そのようなバラ色な未来は、少なくとも数年以内に訪れるということはなさそうです。それだけに、システムを導入する際には、それを使ってどのような運用をするのか？言い換えれば、そのシステムを導入することによって、運用する担当者やシステムを使う従業員は、何をしなければならなくなるのか？また、何を受け入れなければならなくなるのか？をきちんと把握し、メリットとデメリットの双方を受け入れた上で、導入するようにしたいものです。

努々、「システムを、入れたはいいが、お蔵入り」とならないよう・・・。