社内からの悪意による事故――内部不正への対策は？：セキュリティ対策は事前と事後をつなぐ時代（2/3 ページ）

[尾崎孝章，デンカク]

情報セキュリティのルールに潜む矛盾

　Z氏から見て、O社は3年ほど前から情報セキュリティ活動へ取り組んでいたものの、情報セキュリティルールの周知や運用に未徹底な部分が依然として残っていた。そこでB社の事故を聞きながら、Z氏はA社長のセキュリティ意識も確認してみようと、「なぜ今回のような内部不正の事故が起きたとお考えですか」と尋ねてみた。A社長は、さもありなんという表情で「まさか管理者が事故を起こすとは思わなかったからだろう」と返答し、Z氏はうなずきながらも、「その意識の欠落はどうして生まれたのでしょう。わたしは情報セキュリティルールに潜む矛盾から来ていると思っています」と話し出した。

　情報セキュリティの矛盾とは何か。それは情報セキュリティが、例えば不正アクセスといった悪意を持つ人や、誤入力といった人のミスに対する備えであり、いわゆる「性悪説」を前提としている。だが、B社やA社長、社員そしてセキュリティ管理の要である、情報セキュリティの担当者の行動については「正しく管理をする人」という「性善説」を前提にして、情報セキュリティルールを組み立てているということだった。

　つまり、情報セキュリティの取り組みの中に性悪説と性善説の異なる前提条件が存在していることの矛盾である。一昔前の情報セキュリティ事故といえば、不正アクセスやウイルス感染などの社外の者による事故が中心であった。今は決して社外からの事故だけに注意すれば良い時代ではない。情報セキュリティ管理者も管理対象とする、聖域なき情報セキュリティが求められる事故が起きている。「このルール上の矛盾こそが管理面のセキュリティホールを生み、B社の事故につながったのでしょう」とZ氏は語った。

　Z氏の言葉を聞きながら、A社長は「話はもっともと思うが、矛盾を解決しようとすると、セキュリティ担当者も含めて性悪説を前提した管理をしなければならないということか。それは社員との信頼関係を否定した管理や監視になり、逆に社員との信頼関係が損なわれることで、社員が“会社など知ったことか”と内部不正に走るリスクを高めることになるだろう。結果としてますます監視を強め、何も考えずに情報セキュリティを行うことは悪循環を招きかねない。情報セキュリティ本来の目的から外れるし、そのような取り組みは現実的ではない」と答えた。

矛盾の中からの情報セキュリティ

　Z氏はA社長の考えを確認した上で一歩話を進めた。

　「情報セキュリティの管理は、先ほど述べたとおり、一般に性悪説の立場を取ります。しかしながら、情報セキュリティを取り巻く周囲の社会環境は、決して性悪説でのみ成り立っているわけではありません。組織の不正を防ぐのか、不正をしない組織を作るのか。御社としてシンプルに問題を捉えれば、そのどちらも情報セキュリティの活動であることは自明です。管理や監視ばかりの情報セキュリティだけを追うのではなく、人が職務に責任を持ち、職務の期待に応える組織環境を作る、両方向での取り組みがこれからの時代に必要ではないでしょうか。事故を起こさない完全な情報セキュリティの活動が困難であるからこそ、そうした組織の信頼感、職務へのモチベーションを高めることでの情報セキュリティ管理は、御社の今後において情報セキュリティの矛盾が作るすき間を埋める重要な取り組みになるはずです」

　A社長は「そのような情報セキュリティ対策こそぜひ実施したいものだ」と即答した。

　そこで、Z氏はA社長をはじめとする情報セキュリティ関係者と話を進め、セキュリティ担当者も含めた社内の厳格なログなどの管理を実施する一方、A社長の経営方針に矛盾しない形で、業務の可視化と社員のモチベーションアップを目指す情報セキュリティ管理を試行した。O社の業務がPCの作業で完結することが多いことを踏まえ、社員間のコミュニケーションが少なく、また日々の作業がブラックボックス化されやすい問題の解消を狙う次のような取り組みであった。

1. 従来の「申請─承認」手続きの一部を、申請者と承認者両名での検討と確認の合意事項として進めていく
2. 「申請─承認」の場面において別途社内から承認の立ち会い者を作り、局所的な監査として承認行為の妥当性を図る
3. 情報セキュリティ上の運用の記録を見直し、一般の業務活動の記録との統合や連携を進め、業務の流れにおいてセキュリティ上の流れも見えるようにする
4. セキュリティルールの順守を当たり前のこととして捉えるのではなく、正しく運用することへの積極的な評価制度を取り入れる