教員のスマホ禁止に見る「禁止するセキュリティ」という愚策

朝何気なくニュースサイトを見ていたら、いきなりギョッとさせられました。

浜松市　教師の校内スマホ禁止へ｜NNNニュース

三行でまとめると、

・浜松市が「SNS利用に関するガイドライン」を策定
・理由は停職免職した教師がSNS経由で連絡していた
・スマホの持ち込み禁止、子供や保護者との直接連絡も禁止

原因になる要素を取り除けば、問題起きないよね！
という無邪気な思考が見え隠れします。

なお、Twitter上では速攻で叩かれています。

浜松教育委員会、「教員」のスマホ禁止へ

「禁止」は安全に繋がるのか？

この「問題発生の可能性があるものは禁止すればいい論」ですが、いったい何が悪いのか？

確かに禁止は不便になるかもしれないが、
それで問題が発生しなくなるならいいのでは？

さてみなさん。

上の発言に
「せやなー」
と思ってしまったみなさん。

その考えはマズいのです。

たとえば世界的な情報セキュリティ技術者資格であるCISSPでは、
「IT利用の禁止は考慮しない」
としています。

その理由は、情報セキュリティが
「ITを最大に活用するための最小限の安全確保」であるから。

CISSPとは｜ISC2 Japan

…つまり、どういうことだってばよ？

順番に解説していきましょう。

禁止は生産性を下げる

業務のうち、どれだけの業務がIT機器を経由して行われているでしょうか？

デスクワーク系に関しては、ほぼほぼPCを経由していないでしょうか？
メールやチャットの確認・対応にスマホを使っていないでしょうか？

手書きとPCでは、
徒歩と車くらいの違いがあります。

たとえば宅配屋の社長さんが
「車で事故するのが怖いから、明日から徒歩で荷物を運ぼう」
「昔の飛脚は問題なくやっていた」
とか言い出したら、
早晩会社は潰れるでしょう。

特にビジネスは「ビジネス目的の達成」が最優先であり、
リスクリターンを考慮して最短ルートを考え進むことが経営です。

そして、最も安全な最短ルートを選ぶ手法がセキュリティです。

だから、危険を恐れて進むこと自体を諦め、
安全のために効率化を投げ捨てるのはセキュリティの考えからして本末転倒。

禁止はシャドーIT（脆弱性）を作る

禁止されたからといって、唯々諾々と従う人ばかりではありません。

ルールで禁止されたとしても、
それが日々の業務の妨げになるようであれば、
「仕方ないから」と正当化して抜け穴を探します。

禁止されると人は“抜け穴”を探す　セキュリティ事故を起こさないために必要な「大人の文化」

セキュリティの三要素には
「機密性」「完全生」「可用性」
という要素によって成り立つと言われています。

情報の「機密性」「完全性」「可用性」って？ | ISMS情報セキュリティブログ

この可用性（必要な時に使用できるか）が十分でない場合、
いくら制度で定めても利用されないということは、
先日、日本政府が身をもって証明してくれました。

18億円の国のサイバー攻撃防止機能 未使用で廃止 使い勝手悪く | 注目記事 | NHK政治マガジン

では、用意された解決策で対応できない社員は、
どうやって業務を行うのか？

答えは「自分で勝手に用意する」です。

正規のファイルサーバが使いづらければ、
勝手にDropBoxをダウンロードして利用する。

新しいサイトでは業務がしづらいので、
勝手に別のクラウドサービスで業務を行う。

そして、教育現場でのスマホが禁止されるのであれば、
こっそりと使うための方法を見つけるでしょう。

こういった組織側が把握できていないITはシャドーITと呼ばれ、
ウィルス感染や情報漏洩の原因となります。

シャドーITとは？企業リスクとその対策について

放任がいい訳ではないが

こういうと、
「じゃあ制限全部なくした方が便利でいいよね！」
と極端に走る人が出がちですが…

もちろん、丸投げはそれはそれで危険です。

丸投げにしてみて見ぬふりするのでなく、
禁止して解決したつもりになるのでもなく、
IT技術をいかに使いこなすかを考える必要があります。

だからこそ情報セキュリティは
「ITを最大に活用するための最小限の安全確保」であり、
CISSPでは「IT利用の禁止は考慮しない」としている理由です。

禁止はやめましょう。
いいことないよホントに。