レイヤー８のセキュリティ対策と、管理・運用のための現実解

OSI参照モデルの最上位層は第7層にあるアプリケーション層だが、この第7層の上の階層となる第8の層（レイヤー8）として、「ユーザー」を管理する層を提唱する企業がある。同じアプリケーションを使うのでも、使う人によって適用されるべきセキュリティポリシーは異なるのだから、ユーザに応じたセキュリティ管理をしましょう。というわけだ。

社内システムの管理者、経営者、管理職、一般社員、パートタイマーでは、行う業務も違うし、どのレベルの情報にアクセスできるかも当然異なるので、ユーザーに応じたセキュリティコントロールができれば、アプリケーションレベルでコントロールするレベルからもう一歩ステップアップして、より柔軟な対応ができるはずだ。

このコンセプト自体は素晴らしいし、このようなコンセプトに基づいてセキュリティ管理ができる製品も素晴らしいと思うが、課題はコントロールするための作業が繁雑で面倒なものになってしまうということ。

個々のユーザごとにコントロールするということは、裏を返せば、個々のユーザごとにポリシーを定義し、設定をしなければならないということ。対象のユーザが増えれば増えるほど作業が繁雑となり、しかも、人員や業務の流動が激しくなればなるほど、追随してのコントロールが大変なものとなってしまうのである。コンセプト自体は素晴らしいのだが、実際の運用を考えると、絵に描いた餅になってしまう可能性が高い。

しかしこれは、管理者が「性悪説」に基づいてユーザーをコントロールしようとするからで、ユーザーがやりそうな行動を予測し、全ての行動に対して対策を打とうなどとすれば、キリが無くなるのは当然ということになる。そもそも、管理者が望まない行動をユーザがしなければ対策などしなくて済むのだ。昔は田舎に行けば、どの家も玄関に鍵などかけていなかった。というような話はまさに良い例である。とはいえ、完全に無防備な状態にするのも現代においては危険なので、100％「性善説」に立つわけにもいかないが、際限なく対策をしなければならない状況に歯止めをかけるには、管理者が望まない行動を、ユーザ自らがしないよう意識付けを行う啓蒙活動をしていくことも、対策として考えるべきなのである。

「性悪説」と「性善説」、どちらか一方に偏るのではなく、「性悪説」に基づいて対策をしつつ、管理・運用を楽にするため、「性善説」に立てるような組織作りを行うことにも努める。実際には、このような対策を実施していくことが現実解となるはずだ。

その意味では、訓練の実施は、「性善説」に立てるような組織作りを進めていくためのきっかけ作りに使える良いイベントであり、単に、セキュリティ教育のために実施するものと考えるのは、非常に勿体ない限りである。