セキュリティ対策の最終関門は「人」だといわれる。日銀での漏えい事件からは原因と対処にまつわる「人」の動きを垣間見ることができる。
年度末の差し迫った今年3月22日、日本銀行松江支店から管内の金融機関などに関する機密文書データ(34ファイル、約3Mバイト)が漏えいする事件が発生した。
日銀が4月15日に公表した調査報告によると、同支店の職員は行内のデータを外部メディアにコピーして持ち出し、ファイル共有ソフトがインストールされた自宅のPCで保管していた。だが、そのPCがファイル共有ソフトを悪用するウイルス(暴露ウイルス)に感染しており、データが流出した。
日銀は、情報管理のポリシーとして以下の点を規定し、研修などを通じて全行レベルで周知の徹底に取り組んでいたという。
また、個人所有のPCにファイル共有ソフトをインストールしないようにも呼びかけていた。松江支店では、幹部職員が一般職員にこれらルールの徹底を日常的に呼びかけ、情報を持ち出していた職員も承知していた。
だが、この職員はほぼ毎日のようにデータを自宅に持ち帰っていた。職員は自宅でも仕事をしなければならないほどの業務量を抱えてはおらず、むしろ仕事の完成度を高めるためにデータを持ち出していたという。職員はルールを承知しながらも、業務への使命感を優先して無許可でデータを持ち出していた。
管理者は、「勤務時間内に処理できる業務量のみを指示していた」といい、職員がデータを持ち出していることを認識していなかった。調査報告では、管理者のこうした意識も漏えい原因の1つになったと指摘している。
さらに、職員がデータを保管していたPCにウイルス対策ソフトもインストールされていたが、このソフトのウイルス定義ファイルは最終更新が2001年11月となっており、実に6年以上もウイルス対策が放置されていたことが判明した。職員は、この状況を把握していなかったという。
Copyright © ITmedia, Inc. All Rights Reserved.