部内にキーロガーを仕組んだ男性社員――不正を生ませない人的対策：不正事件に学ぶ社内セキュリティの強化策（3/3 ページ）

[萩原栄幸，ITmedia]

本当の防止策

　このような事件を防止するにはどうすれば良いでしょうか。表面的な防止策には、キーロガーのような会社が認めないソフトの利用をエージェントツールなどで監視するといった、未承認ソフトの実行させない仕組みが挙げられます。また、S氏は恒常的に一人で残業することが多く、このような行為を生む温床になる可能性が指摘されました。その結果、同社では残業規制を強化し、一人での残業はその事由が明確でない限りは禁止するなどの対応が検討されたようです。

　読者の中には、「この程度の対応もしていなかったのか」と思われるという人もいるでしょう。しかし、そのような方は恵まれた環境で仕事をしていると思います。まだこの程度の対応がまったくできていない会社が非常に多いのです。情報セキュリティそのものも二極化しつつあり、実施の度合いは、大企業や一部のセキュリティを強みと会社と社会の9割以上を占める中小や零細企業では圧倒的な差があります。

　この連載では社内不正を生ませない方法として、メンタルケアの重要性を繰り返し提起してきました。今回取り上げた事件も同じで、なぜS氏はこのようなことしてしまったのか。「愚かだ」という目線でいては絶対に解決しません。彼と同じ目線で考えなければいけないのです。そうすると、本当の原因は内向的なS氏の性格を理解することなく、職場全体がそのような性格の人間を排除する雰囲気があったと考えられます。

　自分の職場が排他的になっていないか、余裕を持って異文化を受け入れられる体制作りや職場への啓発ができているか――特に情報セキュリティ管理を担当している方には、ぜひ自身の会社について自問自答していただきたいと思います。「今のわが社はいい雰囲気だ」「急成長して職場も活気づいている」。このような時に油断が生まれます。反対に職場の雰囲気が暗い、業績が芳しくない……。この時は職場の一人ひとりが停滞し、モラルの低下に陥っています。

　どのような場面でも会社を継続的に成長し、従業員が笑顔で作業できるよう、情報セキュリティ対策も経営者視点で実行していくべき時代だと感じています。

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

セキュリティニュース一覧はこちら