マイコミジャーナルに、「正しい情報セキュリティ対策とは？」というオピニオンが掲載された。

【レポート】情報漏えい対策"虎の巻" 専門家に聞く　"正しい"情報セキュリティ対策とは? | 経営 | マイコミジャーナル

実際に、企業に勤務する人間なら、ここで述べられている「対策＝制限する」という図式に基づいたセキュリティ対策が、いかに仕事をやりづらくしているか身にしみているだろう。
一例を挙げれば、USBメモリーは情報漏えい防止とマルウェア対策の両方の面でリスクがあるからとの理由で、使用を禁止している会社もあるが、大容量のファイル受け渡しはどうするのか？

ファイル添付メールでの受け渡しは容量制限があって不可能であり、グループウェアでのファイル公開は禁じられている。ファイルサーバは課別にしか立てられていない。
となれば、自分の端末の共有フォルダを公開するか、CD-Rで渡すということになって誠に不便である。

「今のIT業界は、"サプライサイド指向"という発想から抜けきれていません。最近は"顧客指向"という掛け声がよく聞こえてきますが、他の業界から見たら当たり前のことです」

付け加えさせてもらうならば、「内部統制」「コンプライアンス」「ガバナンス」といった旬のタームが一人歩きして、基本的なセキュリティ対策を確実にやっていこうという姿勢が見失われているようである。

「○○社セキュリティポリシー説明会」なるものが社内で開催されても、パソコンが何となく得意そうな一番若手の社員を出席させて、後日資料を課内で回覧するだけというのでは、周知徹底は及ばない。

上に紹介したUSBメモリーの例でいえば、暗号化USBメモリーやAutorun実行禁止ツール、さらには操作ログ追跡ソリューションなどいくつものセキュリティ商品が販売されているが、最も簡単にできる対策は、マルウェア対策ソフトのパターンファイル更新と、USBメモリー持ち出し・返却ルールの策定・周知徹底である。

まずは、できることから確実に実施していくことが一番肝要であろう。

（編集部　長谷部祐二）