内部不正や犯罪をさせない組織を作る7つの柱:萩原栄幸の情報セキュリティ相談室(2/2 ページ)
2:「情報セキュリティ」専門部署は極力外に出す
一部の企業は、その成り立ち上から「情報システム部」や「サーバ管理部」などの中に「情報セキュリティ対策室」などの様な名前でセキュリティ担当組織を設置している。しかし、このような運営ではその部署の“呪縛”から逃れることができない。
セキュリティに関する作業の大部分は地道なものだが、例えば、「情報漏えい事案」が発覚した場合は様相がガラリと変わる。その対応主幹が「情報セキュリティ対策室」だとしても、可及的早期に対応策を検討・実践しなければならない場合、「情報セキュリティ対策室」が「情報システム部」の一部分となっていては、作業がスムーズに進まない。部長の承認といった煩雑な作業があまりに多いためだ。特に内部犯行が大きく疑われるケースでは、なおさらである。
一方、「情報セキュリティ対策室」がシステムに関係のない「経営企画部」などの中にある場合や、インシデント専門プロジェクトの組成を速やかに実施できる体制であれば、その対応をスピーディーにできる可能性がある。
3:経営側と直接コンタクトできる体制に
筆者が数年前に遭遇した実例では、被疑者が情報システム部長だった。この企業には「情報セキュリティ調査課」なるものが設置され、コンプライアンス統括部の中に存在していた。直接の上下関係にはなかったが、調査課の担当者は、作業内容を情報システム部長と同期のコンプライアンス統括部長に報告するのがとても苦痛だったという。
こういう事件の場合は、そのことを知っている関係者が少なければ少ないほど良い。つまり、この調査課のような部署が「課」でも「係」でも「チーム」でも何でも構わないが、その指揮系統はCIOや社長の直属ということが望ましい。
4:他言無用を貫く
社内のインシデントや事件について、家族であっても直接関係のない立場なので、余計な話をしてはいけない(過去の話などは構わないかもしれないが)。情報セキュリティ関連の作業は、どうしても通常の作業と異なり、他言無用になるケースが多い。筆者の経験上から、一番に漏れやすいのは役員であるが、担当者としての守秘義務があることを忘れないでほしい。
5:相互牽制がしっかりしている
内部犯罪の少ない企業は、組織上から企業内における権限がある程度分散しており、それぞれの役割においての相互牽制がしっかりしている。例えば、個人同士におけるセキュリティ検査、チーム単位のセキュリティチェック、検査部が行うセキュリティ監査など、それぞれのレイヤで必ず検査し合う状況が確立され、形骸化していない。こうなると、やはり犯罪は起こしにくいのである。
6:「見える化」が企業風土になっている
特に隠ぺい体質というほどでもないが、企業としてしっかり「見える化」ができていないところでは総じて内部犯罪が多い(表面化せず、事実は闇の中という場合も多いが)。隣にいた人がいつの間にか懲戒免職され、その理由などが全く表面化しないといった組織なら、要注意かもしれない。
7:教育現場を見れば分かる
従業員などに対する「情報セキュリティ教育」や「コンプライアンス啓蒙教育」の現場を見学すると、企業自体の真剣度や従業員の浸透具合を把握しやすい。特に、実際に事件や事故が発生した企業の現場をみると、事件や事故につながった理由がみえてくる。その傾向は次の通りである。
- 講師(システム部の課長とか人事部の次長などが多い)は「仕事でしている」という顔であり、総じて時間まで淡々と話している
- 受講者である従業員は、「強制だから」という顔付きであり、開講後わずか10分で寝ている人も散見され、講師は見て見ぬ振りをしている
- テキストが型通りでつまらない。何年も同じテキストを使っている
- 「〜は禁止」という話ばかりで、それが「〜だからしてはいけません」という理由説明がほとんどない。説明口調も平坦でメリハリがない
さて、読者の企業ではいかがだろうか。高額で導入したセキュリティのための機器やソフトを有効に活用するためにも、その土台となる「組織」をこのような観点でぜひ見直しをされてはいかがだろうか。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。