フェラーリの工場を訪れた人は、ルールがあまりにも厳しいと感じるかもしれません。カメラの持ち込みは厳禁ですし、重要なセキュリティ対策について説明を受けた旨の確認書に署名が必要です。施設内でラップトップが必要な場合は、相応の説明を求められます。こうした厳しいルールには十分な理由があります。世界最高のレーシングカーを作るためには、競合他社から企業秘密を守らなければなりません。
重要なのは設計図や技術書だけではありません。製造ラインでの作業員間の車の受け渡し、レザーシートの縫い付け方、エンジンの組み立て方法も秘密情報に当たります。工場を訪れる方には、当社のセキュリティに対する取り組みをご理解いただかねばなりません。また、当社の社員にはより一層の理解が求められます。そのため、厳格なルールを定めていますし、社員教育はもちろん、機密情報を保護する技術的な手段にも多額の投資をしています。手続きのルール化と教育の取り組みには、相通じるものがあります。今回の記事ではその理由を説明しましょう。まずは当社が抱える課題を簡単に説明したいと思います。
いくつかの課題
故意による情報漏えい
企業秘密を意図的に競合他社にわたす従業員は、最も複雑な対応が求められる脅威です。一方で、とるべき対策という点では、最も単純な脅威でもあります。スパイに対して、間違ったことをしていると教えてやる必要はありません。わかってスパイをしているのですから!この場合の選択肢はただ1つ、機密性が極めて高い情報を盗みにくくすることです。保護された文書にいつ、誰がアクセスしたのか、USBドライブへのコピーや印刷、メールやオンラインサービスでの送信を試みたのか、といったことを把握する必要があります。このような行為を制限するとともに、自動車の設計などのトップシークレットに、可能な限りのセキュリティ対策を施さなければなりません。
過失による情報漏えい
一般の社員は、最高情報セキュリティ責任者(CISO)とは異なる考え方をすることがあります。「新型F1カーの技術仕様を競合他社に送るのはダメだけど、会社のコンピューターにDropboxをインストールして個人の文書を保存するのはOK」と考える人がいるかもしれません。もちろん、OKではありません。全員がITのプロではないことを肝に銘じ、何がよくて何がだめなのかをしっかりと社員に理解してもらう必要があります。セミナーや社内回覧を活用した社員教育の取り組みと、技術的な対策とを組み合わせて実施しなければなりません。
#フェラーリ の #セキュリティ ルールは厳格:危険な賭けはしない
Tweet
「ソーシャル」な情報漏えい
自動車ファンなら、テスト中の新型車を撮影した不鮮明な写真を見たことがあるでしょう。車種がわからないように何らかのカムフラージュを施した写真です。当社は常にメディアの注目を浴びています。フェラーリの新型F1カーのドライバーは誰になるのか?フェラーリはいつ新モデルを発表するのか?こういった情報は然るべきときに公表しますが、もちろん、秘密の漏えいに神経質にならざるをえない状況もあります。たとえば、当社の技術スペシャリストが外国に行って、新型車の非常に重要なテストを実施するとしましょう。エキスパート全員が、レーストラックの近くの空港でFacebookにチェックインしたら、どうなるでしょうか?これは機密保護ルールの違反に当たる行為なのでしょうか?そうなる場合もあります。私たちはチームメンバーの個人的なオンライン活動をコントロールできません(するつもりもありません)が、こうしたケースについてよく考えなければなりません。といっても、こうした脅威に対処できる技術的な手段はないため、社員教育が唯一の対策となるでしょう。
サイバースパイ
最後に紹介するのは、技術的な手段でしか対抗できないシンプルなケースです。一般的なマルウェアであれ、極めて高度な標的型攻撃であれ、絶対に阻止しなければなりません。こうしたケースでは、強力なセキュリティソリューションを導入して、データのアクセスに一定の制限を設ける、インフラ内の構成要素を分離する、リムーバブルストレージの使用を規制する、といった対策と組み合わせるのが有効です。
フェラーリの取り組み
では、こうした脅威に対する具体的な取り組みについてお話しします。まずは教育です。重要情報はセキュリティを意識して扱うように教えています。知識だけを与えればよい訳ではありません。セキュリティはIT部門だけの問題ではなく、全社員の問題だということを理解してもらう必要があります。ルールや制限を設けることも有効な対策です。仕事で使う文書を自由にコピーし、共有してもよいとなれば、何が危険で何がそうでないか理解できないでしょう。ファイルをUSBメモリにコピーする場合に申請を義務付ければ、本当に必要かよく考えるようになり、こうした行為が危険を伴うことをきちんと理解するようになるでしょう。それなりにストレスがたまる取り組み(特に広報担当の社員には)かもしれませんが、危ない橋を渡るわけにはいきません。
#フェラーリ の重要情報は、全体が一箇所に保存されることはない
Tweet
2つめの重要な取り組みは、データを保護する技術的な手段です。フェラーリでは、データのやりとりをコントロールし、制限するシステムを導入しました。企業ネットワークの境界を保護する技術も導入しましたし、ITインフラ内の各構成要素をファイアウォールで隔てました。そして、自動車の設計や技術のノウハウといった一部のデータは、厳重に保護しています。こうしたデータがそのまま一箇所に保存されることはありません。情報にアクセスできる社員は限られており、作業時には毎回許可が必要になります。また、こうしたデータを保存する部屋は、物理的な警備も厳重です。
3つめの取り組みはサイバー脅威からの保護です。現在はカスペルスキー製品を利用しています。もちろん、セキュリティソリューションには、あらゆるタイプの脅威をブロックする能力を求めていますが、それだけではありません。パフォーマンスと信頼性も非常に重要です。これも一筋縄ではいかない問題ですが、いずれ紹介することにしましょう。