新社会人、新入生を迎えて、新人研修、オリエンテーションの季節がらになったが、近年ではこれにセキュリティ研修を加えるのが通常になったようである。そうしたことにともなって、MicroosftやIPAなどが研修資料になるようなセキュリティ対策コンテンツを公開している。これらの内容や評価はどんなものだろうか。

セキュリティの基本知識を伝授-マイクロソフト,新社会人向けコンテンツを公開(CNET Japan)
フレッシャーズの皆さん、十分なセキュリティ知識はありますか?(Microsoft)
セキュリティの教科書「情報セキュリティ教本」、IPAが改訂版を刊行(3.19)
IPA、中小企業向け情報セキュリティ対策ガイドラインを公開(3.23)
中小企業の情報セキュリティ対策ガイドライン(IPA)
トレンドマイクロ、新社会人向けのセキュリティコンテンツを公開(INTERNET Watch 3.31)
新社会人に贈る「ビジネスマンが知っておきたい情報セキュリティの基本」(TREND MICRO)

　自分自身もこれらの内容の周囲への啓蒙する立場として他人事ではないのだが、コンテンツの内容については何を注意するべきかは、いろいろと考えさせられる。これだけセキュリティが意識されてきたのは、まだ10年にもなっていない。IT化の流れの中で、どんどん状況が変わってきてもいるので、数年前の常識が現在では通用しなくなっていることも少なくない。それに対応したセキュリティ対策の啓蒙も行わなければならない。何が重要なことなのかが、はっきり分かっている人も少ないであろうし、対策スキルのレベルも混在しているからである。

　まず大きく変わったことは、若い世代中心に、PCやネットをすでに経験してきていることである。昔のようにPCやネットを見たことはあるが、自分自身の経験はないという人はほとんどいないということである。それどころか、PC以上に携帯によるネットを中高年世代以上に使ってきている。ネットはすでに「勝手知ったる」ツールになっているのである。しかし、この「勝手知ったる」が一番危ない。これまで自分が獲得してしてきた「個人的活用法」を組織のネットにも通用させようとする人がいるからである。

　公開されているMicrosoftのコンテンツについては、きわめて常識的なの内容である。あまりネットというものがわかっていない世間の人には、適当な内容であるといえよう。しかし、ある程度ネットの経験がある新社会人には不十分というか、焦点がずれているような気がする。もちろん、各企業の独自のセキュリティ研修が別にあることを想定しているからであろうとは思う。

　まず、仕事でPCやネットを使うという前提ならば、「公私の区別」を徹底することであろう。これは新社会人だけでなく、すべての組織の人間の問題である。いろいろマスコミで耳にタコができるくらいに聞かされた、大きな組織での個人情報の流出などは、実は技術的な問題ではなく、ほとんどが公私混同が原因といってもよい。だから組織の中のPCは個人のもののように使ってはならないわけである。まず、この意識を徹底するべきであろう。

　「組織の中のPCは個人のもののように使わない」をどうやって実現するかは、それぞれの組織の問題である。お金のある大きな企業ならば、組織のPCを完全にシンクライアント化することができるだろう。ハード的に不可能ならば、ソフトウェア的にOSから切り変えて利用する。プロキシーでアクセスできるサイトを制限する。何もそういう対策ができなければ、ネットにアクセスする末端の個人のモラルやスキルに期待するのは最後の対策である。しかし、皮肉ではないが、最後の対策が最も高度で難しい対策であるといえるだろう。個人のモラルにだけ期待するのは、組織としては怠慢としか思えない。警察から捜査情報がネットから流出した事件があったとき、警察幹部が「あれほどWinnyは使うな、と言ったのに・・」とコメントしていたが、そういう問題ではないだろうと思えたものである。

　では、どう考えるか。セキュリティといってもネットなのであるから、TCP/IPのようにセキュリティをレイヤーとして考える方が合理的である。個人のモラルとかセキュリッティポリシーとか学術目的ならAUP(Acceptable Use Policy)などは、最上位のレイヤーにあるものである。その下がアプリケーションレベル、クライアントレベル、サーバーソフトウェアレベル、部署サーバーレベル、ルーターレベル、全体サーバーレベル、回線レベルなどとなっていくであろうか。そしてこれらのレイヤーの責任をはっきりさせておくべきであろう。トラブルはレイャーの境界部分で起こることが多いといえるからである。「勝手知ったる人」は、しばしば自分のレイヤーを超えたがるが、それが組織全体にどのような影響を及ぼすかの想像力に欠ける。

　つまらない例だが、仕事のメールを自分の個人アドレスから送りたがる人がいる。自宅でも仕事をしている証拠とも言えようが、個人アドレスから送るとどうなるかをあまり想像していない。あるところでは、簡単にスパムと判断されてそのままゴミ箱行きになる可能性もある。それを相手にメールを送ったはずなのに返事をくれないと、相手のせいにしてしまったりする。若者がいきなり携帯のメールで公的なアドレスにメールを送ることも同様である。メールの本文で「○○の△△です」と名乗るのが、なりすまし（オレオレ）と何ら変わりがないことに気がついていない。

　昔は業務中に、仕事に関係のないアダルトサイトや趣味のサイトなどを閲覧することを禁ずるのはモラルの問題だった。アメリカあたりではそれが原因で解雇された話もあった。ところが現在はモラル以前にセキュリティの問題になった。感染経路は巧妙化して、ボットなど発見が難しく、長期に潜伏するケースも増えてきた。セキュリティ下位のレイヤーから見れば、安全な方法はネット接続先は必要最低限にすることである。もっと上位の対策としては、ターゲットになりやすいWindowsを使わない、ということも考えられるし、シンクライアントでは実際にそうなっているケースも多い。しかし、そうなるとMicrosoftのセキュリティ対策の啓蒙も意味のないものになってしまうだろう。