情報モラルとセキュリティ
<情報モラルとセキュリティ>5.LanScopeには社員の自覚を促す効果がある
2003/05/12 16:18
週刊BCN 2003年05月12日vol.989掲載
エムオーテックス(MOTEX)の「LanScope(ランスコープ)」シリーズは「セキュリティ管理システムの定番」として、現在、多くの自治体で使われている。このシステムは「資産管理」、「稼働履歴管理」、「情報漏洩管理」の3つの機能を備えたもので、それがこのシステムが大ヒットした理由とされている。「個々の機能をもった製品はほかにもあるが、すべてをトータルに管理できるソフトは世界に類をみない」というわけである。(コンピュータソフトウェア著作権協会(ACCS) 専務理事 久保田裕)
しかし、私が注目している点はそこではない。このシステムを知って私が「新しい」と思ったのは、LanScopeシリーズの「情報漏洩」に対する考え方である。
従来のセキュリティシステムは、「いかに情報を持ち出せないようにするか」という発想から開発されていた。つまり、情報漏洩を防ぐには「情報の持ち出しを禁止するしかない」と考えられていたのである。
ところが、LanScopeシリーズは違う。情報漏洩に対するLanScopeシリーズの基本姿勢は「禁止」ではなく「抑止」である。情報にカギをかけて持ち出しを防ぐのではなく、不正な情報の持ち出しのログを残すことで、LanScopeシリーズは情報漏洩を防いでいるのである。
エムオーテックスの開発者は、「禁止しても限界がある。それよりも不正な情報の持ち出しはいずれバレますよ、という抑止効果の方が大きい」と言っているが、私も同感である。情報の持ち出しを禁じても、必ず破るものは現れる。それではキリがないし、そもそもセキュリティの目的は「犯罪者」をつくることではない。「禁止よりも抑止」という発想は、的を射たものといえるだろう。
ただ、私はこれを「抑止効果」ではなく、「社員の自覚を促す効果」と表現したい。ログが残ることによって情報管理に対する社員の意識が向上し、また、ネットワークの参加者としての自覚が生まれる。情報漏洩が減るのは、その結果であると。
情報セキュリティのカギとなるのは、社員のモラルが育つかどうか。これまで私は再三に渡ってそう述べてきたが、LanScopeシリーズの成功によって、これが単なる理想論でないことが証明されたといえよう。
しかし、私が注目している点はそこではない。このシステムを知って私が「新しい」と思ったのは、LanScopeシリーズの「情報漏洩」に対する考え方である。
従来のセキュリティシステムは、「いかに情報を持ち出せないようにするか」という発想から開発されていた。つまり、情報漏洩を防ぐには「情報の持ち出しを禁止するしかない」と考えられていたのである。
ところが、LanScopeシリーズは違う。情報漏洩に対するLanScopeシリーズの基本姿勢は「禁止」ではなく「抑止」である。情報にカギをかけて持ち出しを防ぐのではなく、不正な情報の持ち出しのログを残すことで、LanScopeシリーズは情報漏洩を防いでいるのである。
エムオーテックスの開発者は、「禁止しても限界がある。それよりも不正な情報の持ち出しはいずれバレますよ、という抑止効果の方が大きい」と言っているが、私も同感である。情報の持ち出しを禁じても、必ず破るものは現れる。それではキリがないし、そもそもセキュリティの目的は「犯罪者」をつくることではない。「禁止よりも抑止」という発想は、的を射たものといえるだろう。
ただ、私はこれを「抑止効果」ではなく、「社員の自覚を促す効果」と表現したい。ログが残ることによって情報管理に対する社員の意識が向上し、また、ネットワークの参加者としての自覚が生まれる。情報漏洩が減るのは、その結果であると。
情報セキュリティのカギとなるのは、社員のモラルが育つかどうか。これまで私は再三に渡ってそう述べてきたが、LanScopeシリーズの成功によって、これが単なる理想論でないことが証明されたといえよう。
- 1
