内部関係者の不正行為、その本質と対策とは?萩原栄幸の情報セキュリティ相談室(1/3 ページ)

ベネッセでの情報漏えい事件をきっかけに、内部者による不正行為にクローズアップされるようになった。しかしこの問題が古くからあるものだ。問題の本質と対策を解説する。

» 2014年09月26日 08時00分 公開
[萩原栄幸,ITmedia]

 以前ベネッセの情報漏えい事件について、「一人500円〜1000円程度の金券で対応するので、200億円程度の出費で済むだろう。企業体力的にも妥当な線」という内容を掲載したが、先日その通りに発表された

 最近この手の犯罪が多いと感じる。筆者は約20年前から「外部犯罪」より「内部犯罪」の件数が圧倒的に多いとお伝えしてきたが、その頃はセキュリティの関係者からでさえ、「そんな統計情報はない」と言われてきた。しかし、実際に筆者がこの種の作業を通じて明白に感じてきた結果であり、作業を実際にされていない人にとっては、なかなか理解しづらいことなのだろうと思っていた。

 それがここ数年の間に、米国での情報や情報処理推進機構(IPA)の情報など出るようになり、やっと統計学的にも追随できる環境が整ってきた。どんなにもっともらしい「理論」を並べ立てるよりも、「現場」を見られることの方が真実であると考えている。

 正しいと考えられがちな数字でも、それ自体が信用性に乏しいこともある。自社の評価を下げる情報を積極的に公開する従業員や役員はいないだろう。筆者は年中、情報漏えいや横領などの現場で作業をしているが、いくらその話題を提起しても役員や従業員の不正を公開することはまれだ。比重としては地方の中堅企業ほど大きいが、「身内の犯罪」だとして情報公開がされにくい環境になってしまう。日本人のカルチャーとしては、「そっと隠して無かったことにしたい」という気持ちであり、筆者も十分過ぎるほど理解している。

 しかし、それでは時代が許さない状況になってきた。特に今年の大きな事件としては、富士通フロンテックやNTTデータが関係した横浜銀行のキャッシュカード偽造事件があり、ベネッセの個人情報漏えい問題にしても、その本質は同じである。筆者としては「いい加減にしてほしい」という気持ちでいっぱいだ。問題が起きると、たとえ子会社であろうと孫会社であろうと、「内部の人間」という範囲にしてしまい、システムに入り込んだ「悪意を持つ内部の人間」の行動を監視していないなど、とても考えられない。

 ベネッセの事案などでは、日経コンピュータ誌の浅川直樹氏が指摘した、スマホからの情報漏えいでは検知がしにくい(対策が難しい)ということもある程度は理解できる(ただ、全てをMTP[Media Transfer Protocol]のせいにするのはいささか勇み足という気もする。別にMTPだけではなく別の手法でもアクセス可能となるのだから)。

 しかし、その程度の問題はセキュリティの専門家であれば、当然ながら織り込み済みだ。横浜銀行での事件とベネッセの事件の2例だけでも言えることは、セキュリティ上のコントロールがあまりにもAll or Nothingであるということだ。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ