セキュリティの現場では,対策が一向に進まず,ずさんな状態のまま放置されているケースが多い。そのような企業を数多く取材したところ,根本的な原因の一つとして浮かび上がってきたのが深刻な「人手不足」だった。
典型例を一つ挙げると,企業の業績悪化やリストラなどによりシステム担当者が減らされ,通常業務の負担が急増したためにセキュリティ対策まで手が回らないというパターンである。
セキュリティ対策をしっかりと実施するために,経営者にセキュリティ専任者の設置など,人手不足の解消を要望したケースもある。だが,対策の重要性を全然理解していない経営者からは,「経営状況が厳しいからダメだ」の一言で片付けられてしまう。
このような状態が続けば,情報漏洩などの事件が起きる危険がある。しかし,現場の努力だけではどうしようもない。「一体どうすればいいのか」と,現場にいるシステム管理者やユーザーの悩みは深まるばかりだ。
リストラで慢性的な人手不足
「正直,いつ重要な情報が漏洩してもおかしくないほど,自社のセキュリティはずさんだ。しかし,万一情報漏洩が起これば,責められるのは私だろう。その ことを想像すると,不安で胸が締め付けられる」。こう告白するのは,機器メンテナンス会社のA社に勤める技師の小山氏(仮名)だ。
A社は小規模な会社なので,システム部が存在しない。そのため,メンテナンス技師である小山氏が,通常業務の合間や夜間に社内システムの開発・運用からセキュリティ対策に至るまでを,一人で担当している。
リストラが進むA社では,小山氏をはじめ技師の通常業務はただでさえ忙しくなっている。そのため,小山氏が一人でセキュリティ対策を実施するには 限界がある。最も基本的なウイルス対策やセキュリティ・パッチの適用ですら十分にできていない。これらの作業はユーザーに任せざるを得ず,各PCのセキュ リティ状況を確認しようにも時間やツールが不足している。
情報漏洩対策も同様である。各技師は,秘密保持契約を結んで入手した様々な製品の技術資料をノートPCに入れて持ち歩いている。この技術資料が漏 洩すれば,メーカーとの取引停止,ひいてはメンテナンス契約を結んでいる顧客を失うことになりかねない。しっかりしたセキュリティ対策をしたいところだ が,これも技師任せにせざるを得ない。
セキュリティ意識の低いユーザーも小山氏を悩ませる。ある日,ファイアウォールからトラフィック量がしきい値を超えているというアラート・メールが 小山氏へ頻繁に届きだした。原因を調べたところ,1台のクライアントPCがその発生源で,A社では利用を認めていない無料インターネット電話サービス 「Skype」を使っていたことが分かった。Skypeはほとんどのファイアウォールを通り抜ける機能を持つため,Skypeが備えているファイル転送機 能は使い方次第で情報漏洩のツールになり得る。何の痕跡も残さずに機密ファイルを外部に転送することも可能なのである。小山氏は,Skypeの利用者が,信頼する人物だったことに驚いた。小山氏は日常業務と社内システムの管理で手一杯なため,クライアントPCの導 入作業は信頼している別の社員に依頼していた。今回Skypeを利用していたのは,まさにその社員だったのだ。「ITに関する知識があるので,システムに よって起こり得るトラブルも理解していると考えていたのだが…」と小山氏は肩を落とす。
しかし,小山氏はその社員に厳しく注意することができなかった。もしSkypeの件を責めれば,「その社員がPCの導入作業をしてくれなくなるのでは」と考えたからだ。
これらの問題を経験した小山氏は,自分の作業負担が限界に近いことや,それに伴ってセキュリティもずさんになっていることを危惧した。そこで社長に,新たにシステム担当者を雇うか,技師を雇って自分をシステム担当者にしてはどうかと提案した。
だが,社長の返答はつれなかった。「ボーナスも出せないぐらい,ウチの経営状況は厳しいんだ。そんな中で,一人であっても人を増やすことはできない」と拒否された。
小山氏は,システムにトラブルが起これば休日でも駆けつけ,自腹でIT関連の雑誌や解説書を購入して勉強もしている。それで評価や給与が上がるわけではなかったが,精一杯頑張っていた。そんな小山氏にとって,社長の言葉はひどく冷たく聞こえた。
社長は,ぶぜんとした表情の小山氏に「では,業務時間の4割をシステム管理に当ててよいことにしよう」と譲歩してきた。だが小山氏はこの提案に困 惑する。「私が業務時間の4割をシステム管理に当てるということは,私以外の技師の作業量がそれだけ増えるということ。リストラで人がかなり減ったので, どの技師も作業量は限界に来ている。ここに私の作業量が加算されれば,きっと他の技師の誰かが潰れてしまうだろう。社長もそれが分かっているはずなの に…」。
セキュリティの現場における人手不足は深刻だが,「ボーナスも出せないくらい厳しい」と社長に言われたら,現場のシステム管理者の多くはそれ以上反論できなくなってしまうのではないだろうか。程度の差こそあれ,最近はこうした例が増えている。
幸いにも,小山氏は社長から譲歩を引き出せた。しかし,実際に通常業務を減らしてシステム管理に当てたことは,まだ一度もないという。やはり,他 の技師の負担を増やすことに抵抗があるからだ。結局,セキュリティ対策は不十分なままであり,解決への糸口は見つかっていない。
さらに,慢性的な人手不足は,事態を少しずつ悪い方向へ進めているようだ。小山氏は意欲のある管理者だが,忙しすぎてセキュリティの勉強がおろそ かになったり,ときどきリスクに対する注意が散漫になったりすることがある。そのため,自らが「セキュリティ・ホール」になっているのではないかと気にな ることがあるという。
●●コメント●●
0 件のコメント:
コメントを投稿