“権限の漏えい”という言葉がある。組織が大きくなっていくと、上位の管理者の目が行き届かなくなり、下位の者による権限逸脱が放置されることを指す。当然、職務権限のあいまいさ、内部監査の未実施など管理不在の要因が重なれば、さらに事態は悪化する。
実は、組織にとって、情報の漏えいよりも権限の漏えいの方が恐ろしい。権限逸脱による事件事故の責任は本人だけでなく管理者にも及び、会社にも及ぶことになる。
先般、世間を騒がしているWinnyによる情報漏えい事件にしても、情報漏えいよりも前に権限の漏えいが起きている。職場の資料を許可なく家に持ち帰ったり、職場のPCに無断でWinnyをインストールして仕事に関係ない音楽や画像データなどをダウンロードするという、権限の漏えいが発生した時点で、もはや何が起こってもおかしくない状況になっていたのである。
信用関係を築くだけでは権限の漏えいは防げない。権限の漏えいを防止するためには、ルール化と教育だけではまだ不十分である。
権限の漏えいがまさに起きようとしているそのときに、それをせき止める防波堤の仕組みが必要なのである。権限の漏えいに対する防波堤とは何か。それはアクセス制限だ。
施設や設備に対する施錠、検問、監視といったオフィスセキュリティを設置することは珍しいことではないだろう。しかし、社内の人間に対するセキュリティはどうだろうか。
社員であれば、社長室や人事部、経理部、倉庫や書庫に立ち寄ったり、他部署のPCやプリンタに近づくことに対して、どのような制限対策が講じられているだろうか。社外の人間に対するセキュリティにしても万全だろうか。社内の食堂や談話室を部外者も利用しているにもかかわらず、そこで重要会議を開いていたり、社内資料が掲示されているケースもある。
形のないコンピュータデータを取り扱う情報セキュリティにおいて、アクセス制限の問題はもっと深刻だ。
ユーザーIDやパスワードが共有されていることも珍しいことではなく、あらゆる情報を見ることができるシステム管理者のユーザーIDやパスワードですら、秘密保護もアクセス制限もされていないということすらある。サーバやルータなどシステム上、重要な役割を果たしているコンピュータ機器のユーザーID、パスワードを忘れてしまったということもよく聞く話だ。
例えば、ファイアウォールやログ監視、暗号通信といった高度な情報セキュリティ対策を講じていようとも、ファイアウォールの設定情報やログファイル、暗号キーに対する有効なアクセス制限されていないのでは意味がない。
システム管理者のユーザーIDやパスワードの管理を任されている(任せているという自覚のない管理者もいるだろう……)、システム部門や委託先のコンピュータ要員による権限の漏えいが、もし起きたとしたらどうなるのかと、一度考えてみて欲しい。
今回は、防犯意識を持つことの重要性について、根拠のない信頼と権限の漏えいという2つの切り口から考えてみた。取引先に対して、根拠のある信用関係を構築することが必要ということを裏返してみると、自分の会社もまた顧客企業から根拠のある信用関係を求められるということである。
次回からは、顧客企業から根拠のある信用を勝ち取って、取引先として選定され続けるために、どのようなことに留意しなければならないのかについて、防犯技術の活用場面を交えながらご紹介していきたい。
杉浦 司(すぎうら つかさ)
杉浦システムコンサルティング,Inc 代表取締役
京都生まれ。
京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。
Copyright © ITmedia, Inc. All Rights Reserved.