「セキュリティに金をかけない」としぶる上司を納得させるコツ：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

見た目が勝負

　コンサルティング会社の主任は、ログの取得強化と改ざん防止策の企画書を部長に提出した。すると部長はこう返事をした。

　「こんな事で80万円も使うのか……。本業にどう貢献するの？　情報漏えいの防止というなら分からなくもないがね。本業で80万円の利益を稼ぐのに、君はどのくらい営業が苦労しているのか知っているのかね？」

　さらに部長はこう続けた。

　「グループ企業やマスコミに説明できる対策ならいいね。例えば『限定された人のみがアクセスできなくなる』なんてどうかね？　役員が指紋認証で入室できるようにするとか格好が良い。マスコミ受けもするはずだ。それなのに、ログ強化なんて誰が興味を持つのかね」

　そういって、その場で企画書を主任に突き返したのである。

---

　セキュリティ対策を考える時には現場の視点、犯罪者の視点でもって検討することが非常に大切である。しかし、その視点のままで企画書を作成してもダメだ。上述のケースはその最たるものだろう。つまり、“お客様視点”で考えることも必要になる。

　上述のケースに当てはめれば、主任にとっての“お客様”とは部長であり担当役員なのだ。彼らの視点で企画書を記載しなければ、主任が必要と感じている本当のポイントが通らなってしまう。

　どのようにすれば記載すべきか。それはIPAの報告書にある「管理者・経営者の効果があると思う対策」である。支持が7％以上の上位6つは次の通りだ。

1. 開発物や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている
2. 情報システムの管理者以外に情報システムへのアクセス管理が操作できないようになっている
3. 社内システムにログインするためのIDやパスワードの管理が徹底されている
4. ネットワークへの利用制限がある
5. 開発物や顧客情報などの重要情報にアクセスした人がアクセスログなどによって確認されるようになっている
6. CDやUSBメモリなどの外部記憶媒体への書き出しや持ち出しが制限されている

　ちなみに「社員の効果があると思う対策」は次の通りである。

1. 社内システムの操作の証拠が残る
2. 顧客情報などの重要な情報にアクセスした人が監視される（アクセスログの監視などを含む）
3. これまでに同僚が行ったルール違反が発覚し、処罰されたことがある
4. 社内システムにログインするためのIDやパスワードの管理を徹底する
5. 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する
6. 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない
7. 社内の重要な情報を暗号化する（社内の重要な情報を誰もが閲覧できない）

　管理者・経営者が考えている対策とは、とても大きな差がある。