2018 年 6 月 19 日 編集部記事

多くの従業員にとって、セキュリティ対策とは、会社の利益を守るために不可欠な予防措置と言うよりは、義務として強いられる厄介な問題であると考えられてきました。Dtex の 2018 年版インサイダー脅威インテリジェンスレポートで発表された昨年のデータで、ユーザの 60％ が、匿名や私的なブラウザの利用に関するセキュリティポリシーを意図的に迂回していることがわかりました。また、調査対象の 91％ で従業員が会社のマシンで個人の電子メールを使っていることもわかりました。このような利用では、当然ながら、会社のデータやリソースがフィッシング攻撃の被害にあうリスクがはるかに高くなります。それでは、面倒なセキュリティ手順を強いることなく、会社のセキュリティ対策を強化してリスクを最小限にするには、どうすればよいのでしょうか。

ウォッチガードのシニアセキュリティアナリストである Marc Laliberte が Dark Reading の最近のコラムで、ユーザに受け入れられるセキュリティポリシーの導入に関する 3 つのヒントを解説しています。一見すると矛盾するように思えるかもしれませんが、1 点目の提案は、セキュリティ制御を緩和するというものです。記事の中から、この提案について説明している部分を抜粋し、以下にご紹介します。

「私自身、セキュリティのプロフェッショナルとして、最も強力なセキュリティ対策を導入することの価値を十分に理解しています。しかしながら、そのような対策を導入したとすれば、ユーザは、24 文字以上の複雑なパスワードを設定し、メールの添付ファイルをすべて無視しなければならなくなり、ホワイトリストに登録された、仕事に不可欠な Web サイト以外にアクセスできなくなってしまい、現実的な方法とは言えません。厳格すぎるセキュリティポリシーを導入すれば、面倒だという理由でセキュリティ対策を無視する従業員が増えることになるでしょう。

一方で、いくつかのルールを緩和することで、セキュリティポリシーを確実に定着させることができる可能性があります。たとえば、Web サイトのブロックを緩和すれば、プロキシや VPN を回避しようとするユーザは少なくなるでしょう。それほど複雑ではない（ただし、一定のセキュリティは保たれる程度の）パスワードを認めれば、四半期ごとにパスワードを再設定するようにしたとしても、パスワードを使い回したり、単純に数字を入れ替えてほとんど同じパスワードを設定したりするユーザは減るはずです。事実、NIST（米国国立標準技術研究所）が昨年の改訂でパスワード設定に関するガイドラインを変更し、複雑さと有効期限に関する要件が削除されました。」

ユーザに受け入れられるセキュリティポリシーの策定に関する詳細と上記以外の 2 つのヒントについては、Dark Reading の記事全文を参照してください。セキュリティ関連のニュースや調査結果などの最新情報については、引き続きこのセキュリティニュースの記事を覧ください。