Part4 「社内ブラックリスト」の作り方と活用法：「社内ブラックリスト」の作り方（1/2 ページ）

不正行為を働くのは「人」であり、不正な振る舞いは必ず、ネットワーク上に痕跡を残す。では、これまでの機器や装置を対象とした監視と、人を対象とした監視では、どこか異なる点があるだろうか。

[牧村修司，N+I NETWORK Guide]

N+I NETWORK Guide 10月号（2004年）より転載しています

POINT 1 プライバシーやモチベーションに配慮する 社員をネットワーク監視する際は、社員に対してその目的を明確にし、かつ周知徹底する。プライバシーや仕事への意欲を損なわないよう配慮する。 2 監視に基づくシステム利用の制限やコントロールは段階的に行う 監視の結果に基づいてセキュリティ対策を実施していくときは、業務に影響を及ぼさないよう、段階的に強度を上げていくことを心がける。 3 収集したパケットの分析から「要注意人物」を特定する システム運用上、違法な動きを繰り返す社員を「要注意人物」としてリストアップする。それらを継続的に監視することにより、クリティカルな不正行為に備える。

社員監視にかかわる微妙な問題

　ここまでのパートで、企業内部の不正行為に対しては、「社員」そのものの監視が有効であることがわかったかと思う。不正行為を働くのは「人」であり、不正な振る舞いは必ず、ネットワーク上に痕跡を残す。その痕跡を探れば、不正行為者を特定でき、抑止、予防、検知、回復を効率的に行えるからである。

　では、これまでの機器や装置を対象とした監視と、人を対象とした監視では、どこか異なる点があるだろうか。

　一般に、企業ネットワーク上の機器にアタック防御やウイルス対策の設定をしても、社員に特に告知するということはない。それは、「敵」が外部にいて、その攻撃から企業を守るという明快な理由があるからだ。

　これに対し、社員に的を絞りそのネットワーク上の行動を監視する場合はまず、プライバシー（保護）の問題が絡んでくる。社員個人の机やロッカーをむやみに開ける権利が誰にもないのと同じように、ネットワーク上でも、正当な理由なくして監視することはできないからだ。またその一方で、監視の事実が、社員の仕事への意欲やモチベーションを低下させるのではないかという危惧も抱かざるを得ない。社員を監視する場合は、このような微妙な問題が絡むのだ。

　筆者が、社員監視システムの導入について相談を受けたときは、実施に先立ち、まず就業規則にネットワーク監視の旨を明記させ（もちろん、業務の円滑な遂行のためという目的も明快に記す）、かつ社員に対してその実施の事実を周知するようコンサルティングしている。それは、1つには不正行為に対する抑止効果を期待してだが、もう1つは、社員の不正行為を追跡調査し、立証するときの根拠とするためだ。法廷では、会社の規則や方針に「監視の実行」が明記されているか否かが、1つの焦点になっている。さらに、先に触れた「微妙な問題」を、少しでもよい方向に持っていく狙いもある。

　「社員の監視」が就業規則などに明記され、ネットワーク上の要所要所で監視が始まったとしても、いきなり個人を狙い撃ちするようなことは行わない。

　監視システムの導入は、内部情報漏えいの阻止と、一部の社員の軽率な行動や不正な振る舞いによる業務の遅滞を避けることが第一の目的である。監視システムの導入が、業務に影響を及ぼすようでは本末転倒だ。とはいえ、重要な情報の流出やその兆候に対しては、断固として制限やコントロールを加える必要が出てくる。

　実際のところ、このさじ加減が非常に難しい。中でも、内部情報への正規のアクセス権限を持つ社員の「ルール違反」に対しては、それをどのようにコントロールするか、いつも対応に頭を悩ませる。

段階的に進めるセキュリティ対策