永沼　辰也
株式会社野村総合研究所
上級システムコンサルタント

本連載の読者の多くはビジネスの現場で情報セキュリティ対策、あるいはPC管理の業務に従事していることと思う。第2回では、そのような読者の皆さんが抱えているであろうクライアントセキュリティに関する悩みについて、筆者の経験から合理的かつ実践的なアプローチで解決策を提言したい。

筆者が様々なIT部門のマネージャあるいはセキュリティ担当者から耳にするクライアントセキュリティに関する悩みは次の2点に集約される。

(1) セキュリティ対策って次に何をすればいいの？どこまでやればいいの？

(2) セキュリティ対策コストって、どのくらいが妥当なの？

クライアントセキュリティ対策で次に何をすべきか？

クライアントセキュリティ対策と言われて皆さんなら何を思い浮かべるであろうか？ウィルス対策ツールの導入、セキュリティパッチの定期更新、PC操作権限の制御と操作ログの取得、もっと視野を広げるとファイアウォールや検疫システムもクライアントセキュリティ対策の一環と言えるだろう。技術の進歩と共にクライアントセキュリティ対策の新たな手法や新たな製品が登場する中で、トレンドや宣伝文句に惑わされることなく、次に打つべき手を的確に選択し投資判断を得ることは中々大変である。

その解決策として皆さんが所属する組織の「PC管理レベルの成熟度モデル」を作成し、自己評価することをお勧めしたい。サンプルとして下の図をご覧いただきたい。この成熟度モデルではレベル0からレベル5までの6段階に分けて、それぞれのレベルで実現すべき管理方法および管理手段（使用ツールなど）を記述している。ここに管理対象となるPC群ごとに現在の状態プロットして欲しい。そして皆さんが所属する組織のマネージャ、企業であれば経営陣とPC管理の成熟度が現状どのレベルなのか、まず認識を一致させることが重要である。もちろん組織の規模やPCをビジネスでどのように利用しているのかによっても成熟度モデルは異なるので、それぞれの組織にあったチューニングをして頂きたい。

このように組織全体のPC管理の成熟度を俯瞰できるようになれば、「次に打つべき手は何か？（テーマ）」、「どこまでやればいいのか？（ゴール）」は自（おの）ずと見えてくるはずであり、計画的な改善活動が可能となる。

ここでお気付きの方もいると思うが、「PC管理レベルの成熟度モデル」には一見クライアントセキュリティという範疇（カテゴリ）に属さない項目が含まれている。しかしクライアントセキュリティは決して単独で成立し得るものではなく、PC管理全体の中で相互に連携しながら運用し、改善して行かなければならないものである。

図1．PC管理レベルの成熟度モデル　Sample

図2．現行PCを成熟度モデルにプロット　Sample

本当にやるべき事をやっていますか？

「PC管理レベルの成熟度モデル」にはもうひとつ重要な見方がある。

それは組織内のPCをその用途や使っている部署に分けてプロットした時に、必ず凸凹が生じるということである。ここにクライアントセキュリティ対策における重要な示唆が含まれている。

それは「クライアントセキュリティは一番弱いところから破られる」という事実である。したがって組織全体を考えた場合にクライアントセキュリティ対策は凹を無くして、全体の底上げを図ることが重要だと筆者は考える。

もちろん重要なデータを扱うPCや部署には特別にセキュリティを強化するためのツールの導入や物理的な制限も必要である。ところが、一般的事務用途のPCやコミュニケーション手段としてのPCに対しても、セキュリティ対策ツールの導入自体が目的化しているケースを見かける。セキュリティ担当者の目が届く範囲でセキュリティ対策しているという既成事実を作ることが重視される風潮があるように思えてならない。

言いかえれば「守るべきところを守る」のではなく、「守りやすいところを守り」、「守った気になっている」のが実態ではないだろうか？

では、「守るべきところ」をまず見つけよう。すなわち管理レベルが最も低く、クライアントセキュリティ対策を急ぐ必要があるところである。

ところがこれすらも一筋縄には行かない。管理レベルが一番低いPCは管轄外、さらには実態が分からずプロットすらできない幽霊PCが皆さんの組織にはないだろうか？

「私はすべて把握できている」という方も、もう一度疑ってみて欲しい。例えば、ヒアリングしてみると「PC利用状況は定期的に棚卸しして、各部署から報告を受けているので大丈夫」という回答を耳にすることがある。疑い出せば切りがないのも事実だが、報告する側からすれば、全部を真剣にチェックするのは面倒だし、あえて悪い事実を報告すれば自分の立場が悪くなるのでないかと考えるのも人情である。（肯定している訳ではない）

現場を虱潰しに回ったり、専門的なスキャンツールを駆使したりしなくても、PCの利用実態はかなりのところまで調べることができる。例えば、DHCPサーバを使っているのであれば、そのIPアドレス払出し記録から怪しいPCのホスト名やMACアドレスを抽出して、うまくすればメーカーまで特定できるし、Windowsであればnbtstatコマンドなどを使って参加ドメインやログインユーザまで特定できる可能性がある。

こうして本当の意味で組織全体のPCの実態を把握し、管理レベルが一番低いPCやユーザを見つけて、底上げを図ること。そして改善活動を日々継続的に行うことが本当にやるべきことである。

クライアントセキュリティ対策にいくらコストを掛けるべきか？

最後にクライアントセキュリティ対策に掛かるコストの妥当性について考察してみたい。企業では一般的に投資コストを投資対効果（ROI）で測定し、承認しているだろう。しかしながらよく言われるようにクライアントセキュリティ対策においては、その効果を測定するための指標を設けること自体が難しい。

そこでクライアントセキュリティ対策の投資コストは「保険の掛け金」とみなして、対策を取らなかった場合に生ずるリスク（影響度×発生確率）との見合いによって評価することになる。リスクの計算方法に関する説明は専門家に譲るとして、ここでは「影響度」をクライアントセキュリティの問題によって生じる「損失額」と仮定し、リスクにはどのようなものがあって、どのように数値化すればよいかを考える。

まず、クライアントセキュリティの問題によって生じるリスクを2つに分けて考えよう。

(1) 情報漏えいに伴うリスク

(2) 業務でPCを使用できないリスク

次にそれぞれのリスクについて、「損失額」を考えてみる。

(1)の情報漏えいが発生した場合の「損失額」として従来から考えられているのは、例えば個人情報を漏えいしてしまった場合の賠償金として1人当たり数百円から○万円掛かるというものである。これに情報漏えいする可能性がある人数を掛ければ「損失額」が求められる。さらには調査費用や謝罪広告といった実費もある。

しかしながら、賢明な皆さんであれば、「昨今の社会情勢を見ると、これだけでは済まされそうもない」というのが朧（おぼろ）げな感想であろう。例えば、昨年次々と発覚した商品の偽装表示問題、経営管理（ガバナンス）態勢や法令遵守（コンプライアンス）態勢の問題点を指摘され業務停止命令や業務改善命令を受けた企業の例など、報道やその企業の決算などを頼りに情報漏えいに伴う損失額の見積もりとして参考にする必要があるのではないだろうか。

(2)の業務でPCを使用できなくなるケースとしては、コンピュータウィルス感染によるものが典型的である。実際にコンピュータウィルスに感染したPCは駆除や交換までの間、そのユーザの業務が停止してしまうし、感染していないPCも安全が確認されるまでネットワークに繋げなかったり、通信トラフィックの増大によってネットワークやサーバが過負荷状態に陥ったり、という事態も想定される。

こういった事態の損失額はどのように見積もるべきであろうか？　社員の時間単価×業務停止時間　から見積もる方法、これは生産性の低下に伴う無駄な人件費を損失額とみなすという観点である。一方で業務停止時間分の機会損失が発生したという観点で売上げの減少分を損失額と見る方法もあるだろう。

どの見積もり方法が正しいのか、その組織の業務内容やPCの用途によっても答えは異なるであろうが、ここで筆者から提言したいのは、クライアントセキュリティ単体で議論するのではなく、BC（事業継続性）やDR（災害復旧）といった組織全体で議論し、合意した算定式なり結果の数値を是非活用して欲しいということである。

こうすることで少なくとも組織のマネージャ、企業であれば経営陣が常に意識している共通の指標で説明し、評価することが可能になる。

まとめ

クライアントセキュリティ対策として次に何をすべきか？　どこまでやればいいのか？　については「PC管理レベルの成熟度モデル」を用いたアプローチをご紹介した。

また、 クライアントセキュリティ対策コストの妥当性については、クライアントセキュリティ単体で捉えるのではなく、組織のマネージャや経営陣と同じ視点に立って、幅広く事例を集め、組織全体で議論・合意している指標を用いることの重要性について述べた。

とは言え、「それとこれとは話が違うし、コスト削減が叫ばれる中で必要性は理解できても現実問題としてクライアントセキュリティ対策まで首が回らない」という現場の声が聞こえて来るようである。

そのような中でも決して忘れてはならないのは、IT業界トレンドや新製品に目を奪われることなく、「組織全体のPC管理の現状を把握し」、「一番弱いところはどこか」、「一番守るべきものは何か」を常に意識しながら、クライアントセキュリティ対策の改善活動を継続して行くことである。

本連載が読者のPC管理を再考する切掛けになれば幸いである。