ニュース
» 2009年01月20日 07時00分 公開

会社に潜む情報セキュリティの落とし穴:「社内の人間は安全だ」という神話 (2/2)

[萩原栄幸,ITmedia]
前のページへ 1|2       

落とし穴は社員以外にも

 さて、社内の人間に情報セキュリティを教育して、その行動を変更してもらうのは比較的難しくないように思います。しかし、それだけでは十分ではありません。この「社内」「社外」という考え方がいかに危ういものであるかを建築設計事務所の事件が暗示していますが、読者の会社では、この考えが徹底されているでしょうか。

 会社のインタフェースには、役員や従業員、パート、出入りの業者、宅配人、管理会社などさまざまな立場の人間がいますが、この観点で情報セキュリティを考えるなら、程度の差はあるものの、「自分の身は自分で守る」という大原則を認識することが重要です。それぞれの立場の人間について、その行動範囲でどういうものであり、悪いことができる存在であるかを一度議論すべき会社がまだまだ多くあると思います。

 会社に関わる人間の中で最も信頼が置かれているのは「警備員」ではないでしょうか。社員や会社の資産をガードする「警察」に近いイメージを持っているからです。しかし、あえて警鐘を鳴らしたいと思います。その警備員が社内で採用された人でも、警備会社から派遣された人でも、完全に信頼のできる人物だと断言できるでしょうか。

 もし、会社やビル、フロアで警備員が「悪さ」をしたら、どこまで悪事が可能なのかというリスク分析している会社はどの程度あるでしょうか。その対応策は用意されているでしょうか。恐らくほとんどの企業では、不完全であるのが実情でしょう。わたしは以前、地方銀行を中心に金融機関の警備状況を調査したことがあります。金融機関は、ほかの業種に比べて厳重な警備体制を敷いているはずだという思いもありました。

 しかし、結果は期待以下でした。特に警備会社のリーダーや警備会社自体が「不正」を行ったら防御する術を持っているケースはほとんどなかったのです(何年も前の調査ですので、現状は異なっているかとは思います)。「警備員は常に善だ」という確固たる証拠はどこにもありません。警備員の採用は、警察官の採用よりも厳格であるというものではないようで、むしろ採用されやすい業種であるとハローワークの担当者から聞いたこともあります。「そんな事考えたこともない」という企業も多いように思います。そのような場合、リスク管理はどのようにされているのでしょうか。

 米国の金融機関では、その回答例の1つとして複数の警備会社と契約しています。例えば銀行本社の警備はA警備会社とB警備会社が請け負い、A警備会社の契約書には、警備対象として本社とその周辺設備、道路などに加えてB警備会社の警備員が記されています。一方、B警備会社の契約書には、A警備会社の警備員が警備対象に加えられています。しかも、AとBの警備会社はそれぞれが全く独立した資本で、両者に跨って関与する大口株主が存在しないことが前提です。

 こうすれば、仮にAの警備員が組織的に銀行の機密情報を深夜に搾取しようとしても、その行動をB警備員が監視している訳です。監視モニタールーム全体の管理もAとBがお互いに監視しているという状況です。もし悪事を働くなら、双方が「共犯者」になる必要があり、犯罪を実行する上でのハードルは、警備会社が1社であるのに比べて格段に高くなるわけです。

 あくまでも米国の社会事情に基づく対策例ですが、こうしてリスクヘッジすることにより、万が一2つの警備会社が結託して機密情報を盗んだことが判明しても、「ここまで考えていた」「これで漏えいするのであれば仕方がない」と考えることができ、結果として株主代表訴訟などを未然に防止できます。

 仮に慣習のまま1社と長年契約を続けて、犯行が起きてしまったらどうなるでしょうか。株主など外部からは、「どうして他社は考慮しないのか。この警備会社から賄賂をもらっているのではないか」「入札で警備費を削減する努力がなく、1社で何十年も継続していたのは“不作為の罪”である」といった批判がいくらでも湧き上がるでしょう。また、それらに対する合理的な反論は非常に難しいものとなります。

 セキュリティ対策に例外はありません。セキュリティは、その一番脆い部分からヒビが入り、崩れていくということを十分に認識しなければなりません。

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


過去の連載記事一覧はこちらから


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ