第5回 社内のセキュリティ状況を把握する（環境チェック編）：会社を強くする経営者のためのセキュリティ講座（1/2 ページ）

セキュリティのリスクは会社の事業にも大きな影響を与えます。経営者が知っておくべき対策のポイントを専門家・萩原栄幸氏が解説する連載。今回のテーマは「社内環境や人の行為から把握するポイント」です。

[萩原栄幸，ITmedia]

　セキュリティのコンサルティングやシステム設計の支援などを通じてさまざまな会社を訪問しますが、企業や団体の中に入ると、わずかな時間にセキュリティの状況について気になる点が幾つも見つかります。前回はIT機器に関するポイントを紹介しましたが、今回は後編として社内環境や人の行為の観点でポイントを開設します。

入館手続きはしっかりしているが……

　ある企業に呼ばれて立派な構えの本社ビルを訪問した時のことです。さすがに有名な企業ということもあり、大きな自社ビルでした。周囲は塀で囲まれ、正門があります。そこに入館の受付があり、必要事項を記入して、ガードマンが面談先に連絡します。相手の確認が済むと、入館証の「お客様バッチ」をつけて、本社ビルの中に入ります。

　わたしは、そのまま指定された会議室のあるフロアに行き、担当者と打ち合わせをしました。打ち合わせが終わり、エレベーターホールで相手は深くお辞儀をしました。ここまでは、どのような会社にも見られる日常的なシーンでしょう。しかし、わたしが持った感想は「その程度か……」というものでした。

　実はここに大きなセキュリティホールがありました。それは「内部と外部の境界」と呼べるものでもあります。このケースでは、企業のあるビル全体が「内部」であり、そこへの入館の手続きはビルの外側にある守衛室で行われています。ビル全体は塀で囲まれ、ガードマンが巡回しています。つまり、「内部」のセキュリティを守るために、「内部」にいる担当者は「外部」から来たわたしを帰す際に、その「境界」である守衛室まで必ず同伴するか、その代わりにガードマンを準備すべきでしょう。

　この企業における「内部」と「外部」の境界とは、守衛室であり、ビルを囲んでいる塀なのです。決して本社ビル内のエレベーターホールではありません。もしわたしが1階に下りず、途中のフロアに立ち寄り、開発作業や製品企画をしている場所にふらりと立ち寄ったとしたらいかがでしょうか。しかも、「あなたは誰ですか？」と尋ねてくる部署はまずありません。このようにして、情報が漏えいしている企業が少なからず存在するという報告さえあります。

　従業員を責めても仕方ありません。そのような教育をしていないことが問題です。セキュリティを「企業の存続にかかわる重要な問題である」と認識している経営者は、啓蒙活動や教育に真剣に取り組んでおり、そのような会社では先に紹介したような対応をしてしまうことは決してありません。残念ながら外資系企業を除けば、ほとんど企業で紹介したような対応がとられているのが実態です。

　ビルに入居している企業では、外部と内部の境界線がエレベーターホールというケースも多いでしょう。「境界線」の形はさまざまであり、自社の「境界線」がどこにあるのかを正確に把握してから、ルールを決めなければなりません。