社内からの悪意による事故――内部不正への対策は?セキュリティ対策は事前と事後をつなぐ時代(3/3 ページ)

» 2009年12月24日 07時00分 公開
[尾崎孝章,デンカク]
前のページへ 1|2|3       

見えてきた情報セキュリティの効果

 これまでと異なる視点で情報セキュリティルールを見直してから3カ月後、Z氏はO社へのセキュリティ運用状況を確認することになった。社内から業務への変更が加わることでの混乱や不満も心配したが、社員間のコミュニケーションの活性化や、自らの業務成果として各記録を正確に残すようになるなど、社員からは業務の一つとして情報セキュリティ活動を捉えるようになっていた。

 A社長は検討結果や承認などの記録、その活動に対応するアクセスログなどを見比べながら、「担当者を中心に社員全員が会社の情報を管理することに強い責任を感じてくれるようになった。仕事上の打ち合わせをする場面も社内でよく見るようになり、こうした情報セキュリティの取り組みもあるものだと実感したよ」とZ氏へ得意げに話した。

 こうしたモチベーション向上からの情報セキュリティの取り組みは効果がゆっくりであることから、Z氏はまだ結論を出すには早いと思った。しかし、A社長が示した資料と突き合わせながら、記録上の不備や問題がほとんどないことを確認し、少なくとも運用の徹底が図られつつあることを確認した。

 会議室に掲げられた「会社は組織、組織は人から。人と人とは信頼から」という社是を見ながら、「社是と情報セキュリティの取り組みは矛盾なく、実行されていることをしっかりと確認させていただきました。内部不正への取り組みであっただけに経営者、そして担当者それぞれの立場として心苦しい点もあったでしょうが、しっかりと皆さんが主旨を理解して情報セキュリティに取り組まれています。皆さんの信頼関係を強く感じましたよ」と語り、A社長は思わずと顔を綻ばせるのだった。


 本連載は「事故前提社会」と題して、情報セキュリティ事故は発生するという許容を踏まえた現実的な予防措置と、事故後の改善のあり方について示してきた。メール誤送信による事故、管理の不備による誤廃棄事故、委託先の事故、故意の内部不正事故など、いずれも代表的な事故パターンであるが、その改善に取り組む企業の姿や問題に向き合う企業の姿は各社さまざまである。情報セキュリティ事故の原因について、自社に当てはめながら事例から学び、どのようにして防止していくかという情報セキュリティ活動の参考にしていただきたい。

執筆者プロフィール:

おざき・たかあき 株式会社デンカク代表取締役。業界紙記者として多数のIT企業の取材を手がけ、その後、情報セキュリティコンサルタント会社で業種・業態を問わず、大手から中小企業まで幅広い企業で情報セキュリティのコンサルティング業務を担当する。2009年より現職で効率的な企業セキュリティレベルの向上支援を目指して活動中。システム監査技術者・情報セキュリティアドミニストレータ・公認情報セキュリティ監査人。


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ