多額のセキュリティ投資と立派な製品を導入した残念な企業の一面：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

しばし経営者から、「セキュリティ投資をしたのに、マスコミに騒がれた」「対策を強化しても、また内部犯罪だよ」と言われる。「筆者を採用すれば解決しますよ」と冗談を言っているが、こういう経営者の“セキュリティ”問題とは何か？

[萩原栄幸，ITmedia]

　今回は、ある地方の有力製造業の事例を紹介したい。この企業は九州に工場を持ち、地域の中ではやや大きい部類に入る製造業である。以前この地域の商工会議所の主催で行われたパーティに筆者が招待された時のことだ。筆者のコンサルティング先の社長から、この製造業のA社長を紹介された。

　A社長は、最近の業績について笑みを浮かべながら話され、好調であることが誰の目にも明らかだった。ところが、社内の話やセキュリティの話になると、どうにも憂うつな表情になる。

　思い切ってその原因について尋ねたところ、「実は今年だけで内部犯罪が2件も見つかった。今までとほぼ同じ発生ペースだが、昨年3月に数千万円もの費用をかけて最新の情報漏えい防止ツール、ログ監視ツール、ドア指紋認証システムなどを導入したばかりだ。でも、結局は効果がなかった。どうしたものかと頭を悩ましている」ということであった。

　A社長を筆者に紹介したコンサルティング先の社長も、「1カ月でもいいから現状を分析して、問題点があれば、A社長に指摘していただけないか？　費用はわが社で賄えるように、役員には私から伝える」という。この社長株式の8割を自身が保有し、親族を含めるとほぼ全てを所持している。取引先であるA社長の会社のセキュリティを調査してM&Aの検討資料にするという大義名分で、筆者がA社長の会社を調査することになった。

　筆者は本社と工場、そして営業所の3カ所を調査した。その結果、（表面的な調査しかできなかったが）次のことが判明した。

まずシステム部門を見ると、A社長の言う通り、企業内システムとしては決してバランスがいいとは言えない“ご立派”な情報漏えい防止システムとログ監視システムがあった。いずれも筆者が知っている有名なシステムである。

　しかし、ログを分析する技術者がいない。監視システムを入れるだけでは全く意味がないのだ。