セキュリティで特に要注意な2種類の人たち

　企業ネットワークの管理を突き詰めると2つのことに行き着く。1つはユーザーの保護だ。そしてもう1つは、企業データの厳重な保護だ。これらはITマネージャーにとって大変な仕事であり、ユーザー自身が企業ネットワークに対する脅威となる場合もしばしばある。そしてネットワークの安全を維持するという点から見た場合、企業幹部やIT要員は残念ながら、ユーザーとして最悪の部類に入るのだ。

提供：iStockphoto.com/sylv1rob1

企業幹部やIT要員は、なぜ最悪のユーザーなのか？

　IT部門の要員や企業幹部らが最悪のユーザーとなるのは、次の2つの理由からだ。あまりに賢すぎるため、そして絶大な権力を行使できるためだ。

「わたしはIT部門の人間だ。だから何でも知っている」

　ITに詳しいユーザーは一般的に、高い能力を有している。彼らは何時間も、そしておそらくは何年もかけて、自らのスキルに磨きをかけてきている。こういったユーザーは、素晴らしい人事データベースを構築した開発者であるか、あるいは出世競争を勝ち抜いて現在の地位に上り詰めた最高情報責任者（CIO）であるかにかかわらず、目の前に現れたあらゆるコンピューティング関連のシナリオを自らの能力だけで解決できると信じる傾向にある。これには、一般常識となっているようなシナリオも含まれる。

　例えば、「会社のウイルス対策ソフトウェアは、わたしが自宅で使っているものほど優秀ではない。このため、自宅で使っているソフトウェアを職場のノートPCにもインストールし、セキュリティを向上させる必要がある」と主張するテレフォニー管理者もいるかもしれない。

　しかし、その考えは誤っている。会社が認定したソフトウェアは、情報セキュリティチームやソフトウェア管理チームによって厳しく審査されたものだ。なぜそれを放棄しようとするのだろうか？ルートキットやキーロガーがもたらす真の恐ろしさを知っているがゆえに、セキュリティに特化したウェブサイトで「最高」と評価されたウイルス対策ソフトウェアを使えば脆弱性を低減できると考えているのかもしれない。しかし、VoIPにおけるポートマッピングの複雑な仕組みは理解していたとしても、マルウェアに対する防御は自らの職務に含まれていないはずだ。このような資産の管理はネットワーク管理者やソフトウェア管理者に任せておくべきだ。