第8回 Winnyによる情報漏えいのその後――経営者が考えるべき対策:会社を強くする経営者のためのセキュリティ講座(2/2 ページ)
経営者が取り組むべきP2P対策
WinnyやShareなどのP2Pソフトに対する注意事項は、さまざまなところで取り上げられていますので、本稿では経営者に考えていただきたい注意事項を紹介します。
予防策
情報が流出してから対応を考えるのは、「愚の骨頂」です。「自分の会社は大丈夫だ」と根拠のない自信を抱くのも禁物です。日ごろから職場環境や従業員の動向を冷静に気にかけなければなりません。P2Pソフトによる情報漏えいは、ごく一部の「(わざと流出させる)確信犯」を除けば、次の条件が伴わないと発生しません。
- 会社の情報を自宅に持ち帰る、もしくは過去持ち帰ったことがある
- 自宅のPCでP2Pソフトを使用している、もしくは使用していた(本人ではなく、家族が使用している場合もあります)
- PCが「暴露ウイルス」に感染している(「公開フォルダ」の設定を誤って漏えいしたケースもあります)
理論的にはこれらの条件がどれか1つでも欠けていれば、情報漏えいのリスクは極めて低くなるはずです。しかし、企業としてできるのは、情報の持ち帰りを防止することしかありません。規則やルールで禁止するだけではいけません。情報漏えいは、「規則を破ってでも自宅で仕事をすれば職場も私も助かる」という従業員の「善意」によっても起こります。経営者は、従業員にそのようなことをさせないために考えなければなりません。
職場の現状は、経営者が想像する以上に疲弊しています。内部統制の強化や監督官庁への対応など、その一つ一つはさほど作業の手間がかからないものであっても、数が多くなればなるほど重くなります。組織として、チームとして、何より従業員個人として、これらの作業を含めたさまざまな業務に耐えられるのかを十分に検討すべきでしょう。既に限界を超えている現場は多いのです。従業員のメンタルな部分もよく観察することで、職場の実情が見えてくるはずです。
事件が起きた場合
不幸にも情報漏えいが起きてしまった場合、経営者は次のことに配慮しなければなりません。
1 情報漏えいの事実が判明した場合に専門家をすぐ呼べる体制にしておく
特に年末年始は、なかなか連絡がつかない場合があります。親切で対応しているところや緊急時の相談窓口を確保しておきます。私が所属する社団法人「情報セキュリティ相談センター」でも受け付けています。
2 役員と常に連絡がとれる体制にしておく
長期休暇で役員も実家に帰省したり、海外旅行に出かけたりしている場合がありますが、緊急連絡先さえきちんと整備しておけば、迅速な対応がとれます。
3 犯人探しよりも先にすべきこと
事実が判明すると、公表しなければならない場合があります。その際に話していけないことは、「当社も被害者である」ということです。マスコミに無責任な会社だという印象を与えかねません。本当の被害者は、漏えいした情報の関係者(個人情報ならその個人)であり、あくまで会社は「加害者」の立場にあるという認識を持ってください。事実の確認と専門家の分析を待ち、外に適切な説明ができる状況を優先しなければなりません。
4 被疑者に自身のPCを操作させない
事実調査で多いのが、被疑者に自宅のPCを保管させてしまうことです。その間に被疑者が証拠を隠滅させてしまう恐れがあり、後々に禍根を残します。必ず人事部など該当する部署の担当者が被疑者の自宅に直接出向いてPCを押収(メールなど証拠になる可能性があるものすべて)しなくてはなりません。そうした対応に法的効果を持たせるため、事前に宣約書などにその旨を明記して従業員に署名させておく必要があります。
日本人は身内の人間を疑うことに慣れていません。盲目的な信用は絶対に避けるべきです。むしろ、「信頼できる」という証拠を得るためにも調査が必要であり、証拠を積み重ねていくことが重要です。それには平時から取り組んでいかなければなりません。従業員との間に本当の信頼を築いていただきたいと思います。
萩原栄幸
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
- Winny利用の果て――家族崩壊した銀行マンの悲劇
- 第7回 クラウドのメリット・デメリット、経営者目線での注意点
- 第6回 経営者が注意すべき「パスワードクラッキング」
- 第5回 社内のセキュリティ状況を把握する(環境チェック編)
- 第4回 社内のセキュリティ状況を把握する(機器編)
- 第3回 ファイルを削除しても「消えない」データ
- 第2回 メールの適正利用をチェックできますか?
- 第1回 社内のコンピュータが加害者に――ウイルスやボットのリスク
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。