第4回「セキュリティポリシーは何のため?」:研修で教えてくれない!
手続きの面倒くささばかりが目立つ「セキュリティポリシー」だが、外部に情報を持ち出しする場合、ポリシーで定めている手続きに沿って持ち出した情報を“管理”することが重要だ。持ち出し情報を管理していれば、万が一、外部に情報を漏洩してしまったときの対応も早くなる。
大手総合商社「メデア商事株式会社」の営業部3課の新人・小林ケンタは、今日の午後にお客様の下に出向いて説明する資料を準備していた。
小林 よしっ、これで準備OK!
そこに課の先輩・高柳ワタルがやってきた。
高柳 今日の準備はできたか?
小林 はい、資料は用意できました。
高柳 よし、見せてみろ。うん、これで内容は良さそうだな。ところでデータ持ち出しの申請はしたか?
小林 持ち出し申請、ですか?
高柳 セキュリティポリシーの話は前にしたはずだが、ちゃんと読んでないのか?
小林 ちょっとばたばたしていて……。申し訳ありません。
連載の第1回でも紹介したように、大企業だけでなく中小企業でも「情報セキュリティポリシー」を定め、それにしたがって情報管理を行うことが一般的になっている。そのポリシーの根幹は、社内情報の取り扱い方法だ。一般的に社内情報は持ち出し不可が原則であり、持ち出す際には定められた手順が必要になる――というわけだ。
高柳 今日持っていく資料のうち、これはほかのお客様の導入事例だから、今日のお客様に見せた後には回収する。回収するのは、ウチのセキュリティポリシーでそのように決めているからだが、この情報は、持ち出す場合にも申請が必要なんだ。
小林 申請はどうすれば……。
高柳 それくらいは自分で読め!!
小林は配属時に渡されたセキュリティポリシーを読んでみた。今回の「お客様の導入事例」などは、持ち出しに際して次のような情報を用紙に記入して、課長に提出し、許可を得る必要があると定められていた。
メデア商事のセキュリティポリシー
- 持ち出す情報(○○企業の見積書、○○システムの仕様書など、可能な限り具体的かつ詳細に)
- 持ち出す媒体(USBメモリ、PC、CD-R、紙など)
- 期間
- 目的、理由
- 持ち出した後の処理(回収する、コピーしたデータを消去するなど)
また、持ち出し期間終了後の処理が申請どおりに行なわれたかどうか、上長の確認が必要と定めている。
小林 うわっ、めんどくさっ!
小林は正直、げんなりした。
小林 高柳さん、なんでこんな面倒な手続きが必要なんですか?
高柳 お前はどう思う?
小林 そうですね……。手続きを煩雑にすれば、社内情報を持ち出そうという気持ちが萎えるので、それによって持ち出し自体が減って情報漏洩のリスクを軽減される、とか。
高柳 なんだ、それ。
高柳は小林の回答に思わず笑ってしまった。
小林 ち、違うんですか?
高柳 ま、確かにそういう効果が期待できないこともないかも知れないが、そもそもの目的は違う。
このような手続きを必要とするそもそもの理由は、もちろん情報漏洩事故に備えるためである。近年、何らかの形で社外に持ち出された社内の機密情報が、紛失や盗難、場合によってはウイルス感染などによって外部に漏洩する事故が多発している。当然ながら、そのような事故を防ぐための努力は不可欠であるが、不可抗力によるよるものも多く、完全に防ぐことは不可能だ。
従って、情報漏洩事故の最も簡単な防止対策は「社内情報を一切社外に持ち出さない」ということになるが、持ち出さないことは現実的には不可能。そこで、持ち出しを完全に禁止するのではなく、持ち出すためのルール(基準、手順など)が定められているのだ。
小林 目的は分かるんですけど、何でここまでやらなくちゃいけないんですか? ただ面倒なだけに思えるんですけど。
高柳 じゃあ、持ち出した情報が何らかの理由で漏洩してしまったときのことを考えてみよう。このような漏洩事故が発生したときに、まず会社が把握しなければならないのは何だ?
小林 えっと、誰がいつ漏らしたかってことですか? つまり、誰が犯人かっていう……。
高柳 それも重要だが、もっと重要なことがあるだろ?
小林 う〜ん……。何が漏洩したか、ってことですか?
高柳 そうだ。漏洩した情報によって会社が取るべき対応は大きく違ってくる。まずは何が漏洩したのかをできる限り正確に、そして速やかに把握することが肝心だ。あらかじめ、持ち出された情報を特定するための正確な記録が会社に残されていれば、漏洩事故が発生しても、何が漏洩したのか、早く確実に分かるだろ?
小林 なるほど……。確かに持ち出した本人の記憶にだけ頼るなんて危険ですもんね。
「情報セキュリティポリシー」に従った持ち出し手続きは、慣れないうちは単に面倒なだけと感じられるだろう。しかし、このような手続き、さらに言えば、そもそも「セキュリティポリシー」が何のためにあるのかを充分に理解し、会社で定められたルールに従うことを忘れてはならない。
著者紹介 山賀正人(やまが・まさひと)
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
関連記事
- 第1回「メールを転送しちゃダメ?」
大手総合商社「メデア商事株式会社」の営業部3課――。新人研修を終えて配属されたばかりの新人・小林ケンタがメールの設定マニュアルと“格闘”していた。 - 第2回「HTMLメールはなぜダメなのか」
ちょっとメールの見栄えを良くしようと思ってHTMLメールで送ろうとしたらエラーが出ちゃって――。どうしてHTMLメールを送信しちゃダメなんだろう。 - 第3回「自動返信メールが“危険”な理由」
大手総合商社「メデア商事株式会社」の新人・小林ケンタは、初めての有給休暇を取ることになった。休暇中、自動返信メールを設定すべきかどうか――。 - 月刊総務 共同特集:会社でも通用する情報セキュリティの基礎
PCやインターネットを仕事に利用することが一般的になった現在、中小企業やSOHOでも情報セキュリティの重要性はますます高まっている。専任の技術部がいない会社で従業員1人1人が気を付けるべき「セキュリティの基礎」とは──。 - 月刊総務 共同特集:2007年6月版:電子メールの新リテラシーを学ぶ
情報漏洩、そして内部統制への関心が高まる中、最も自由度が高く、ミスによる情報漏洩が起こりやすいのが電子メールだ。電子メールのリテラシーについて現在の状況と考え方、対応策をまとめる。
Copyright © ITmedia, Inc. All Rights Reserved.