【コンテンツセキュリティとは　第三回】（シー・エス・イー）

［III］コンテンツセキュリティはどう考えるべきか

（1）一般のセキュリティとコンテンツセキュリティの違い

　以上（前号参照）が、コンテンツセキュリティ問題の全体であるが、これらの対応は従来のセキュリティ対策と同じ考え方で行ってもうまく行かないのではないかと思っている。コンテンツセキュリティと通常のセキュリティとの違いは以下のようなものである。

（a）コンテンツセキュリティは「セキュリティ」ではない：
　逆説的な見出しになってしまったが、上記のようなコンテンツ関連の問題を眺めてみると従来の「セキュリティ」とは違った対象を扱ったものであることが解るだろう。ウイルス対策のようにもともとセキュリティの対象とされていた問題はともかく、組織間の問題による法的問題など、企業としてのリスク管理全体の中で考えなければならないものが多い。また、「会社に損害を及ぼしうるので取締る」という思想で管理体制を導入しようとしても定着するものではない。「勤務時間中に買い物サイトを覗いたり友達にメールを出したりしている」から「内部者によるメールを使った産業スパイ行為」まで、あまりにも多様な問題が一言で括られてしまっているのだ。これらを全て「セキュリ
ティ」の範疇で議論したら失敗するだろう。

（b）日本独特の要素
　事例に見る通り、コンテンツセキュリティはスパムと外部からのウイルス感染を除けば全てが内部不正または過失を対象にしている。MIMEsweeperを販売する際もユーザーの管理ポリシー計画は殆どが組織内から組織外へのメールを調べるもので、外部から受けるメールはノーチェックでよい、と注文を受けることもしばしばである。

　しかし現在のセキュリティシステム構築では内部不正対策が十分に考察されていないように見受けられる。我が国ではまだまだこの問題への対策ができていない、というより対策を考える際の手順が確立していないように思われる。
リスク分析の際にはっきり「除外する」と結論した企業もあるだろう。この対内部者リスク検討のやり難さ（難易でなくストレスと葛藤の問題）は想像に難くない。

　対内部社員セキュリティの方法論について解説した海外文献もあるにはあるが、この部分は我々日本人に受け入れづらい。欧米式の会社対社員の関係をベースにしているため日本的意識には違和感が有り、そのままでは使えない、−とは、セキュリティポリシーを専門にするコンサルタントが語っておられた話である。90年代から終身雇用が崩れつつあるとは言え、まだまだ欧米の論理がそのまま通る状態ではない。むしろ従来の日本的慣行が崩れているために却って内部者の扱いに関する組織内の意思統一が難しくなっているのが現状ではないか。
　その他、司法や訴訟の状況も欧米と日本では違う。上に述べたような法的リスク事例は明らかに日本的法務事情とはズレている筈である。

（c）各組織に独特の要素あり
　他国文化圏と異なる要素が多いため、欧米の事例を参考にできない部分が多いだけでない。弊社がMIMEsweeper導入の提案を行う時に、さて機密情報の管理はどうしましょうかとなると同じ業界で同じ規模の企業でも一致した定石というものは見出せない。違反が見つかった際の処理をどうするかとなると更にまた千差万別となる。伝え聞くところでは合併しようとする両銀行間でメールの運用規則や使い方が余りにも異なるため、そちらの摺りあわせに合併準備作業のかなりの部分を費やしている例もあるとのこと。

　つまり、コンテンツセキュリティ対策はリスク管理の中で最も一般性が薄く、組織特異性が高いため、ルール付けとその合意に際して的確な現状把握と努力が必要となる。見方を変えれば、それだけ経営に近いところにあるとも言える。

　　株式会社シー・エス・イー　プロダクツ販売部技術課課長　五太子政史

（詳しくはScan本誌をご覧下さい）
http://www.vagabond.co.jp/c2/scan/