内部不正や犯罪をさせない、許さないための個人対策：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

管理者は言い分をしっかりと聞くこと

　内部犯罪の多い企業では、管理者が管理者として機能していないケースが多い。以前、筆者がコンサルティングをしていた企業の工場で大きなトラブルが発生した。筆者は別部署で情報漏えいの防止策を指導していたのだが、偶然にも工場長と工員A氏の口論に遭遇した。

　どうやら、工場長はトラブルの原因がA氏のミスだと本部に報告したらしい。工員は「絶対に違う。現場にほかの同僚（B氏）もいたから、彼にも確認すべき」ということを工場長に告げたが、工場長は取り合わず、「君しかしない」「B君は何度も表彰されている優秀な人間だが、君はどうだか……」といった体で、A氏のことを嫌っていたようだ。

　筆者は副工場長に因果関係を調査するよう伝えた。その後、B氏がほぼ犯人であるという直接的な証拠が見つかったのである。ところが、そのことが判明した翌日にA氏は退職届を出した。しかも、工場では重要な納品業者データベースの内容をコピーし、ライバル企業に接触していた（その後の調査で判明した）。

　幸いにも、このケースではデータがライバル企業の手に渡る前に無事回収されたが、筆者は似たような経緯で情報漏えいにつながることが多いと感じている。しかも、そのほとんどは表面化しない。管理者はくれぐれも偏見で結果を決めてはいけない。職場から内部犯罪を出さないためには、管理者による注意の意識を十分に行き渡らせておくことが不可欠である。

たった1人のルーズが会社を滅ぼす

　本シリーズでも以前にお伝えしているが、社員の「情報セキュリティ教育」「コンプライアンス教育」は極めて重要だ。どんな高価な対策システムでも、それを利用し、運用するのは人間である。

　仮に1000人がルールを守っていても、たった1人の社員が決められたルールから逸脱し、「自分くらい」「私は新人だから」という無責任な感覚で「11111111」などというパスワードを使っていると、ここがウィークポイントになってサイバー攻撃者の侵入を許し、社内システムの奥へ入り込まれて、大きな被害につながる。

　従業員である以上は「会社のルールなんて気にしない」などという甘い考え方が絶対に許されないことを理解し、常に慎重に行動するようになってもらうことが大切だ。

パスワードの本質を見抜け

　情報セキュリティ教育などで、パスワードの重要性を学んでも、実感できないという従業員が多い。それは、管理者が「〜は禁止」ということだけ教えて、その理由や行動指針をしっかり伝えないことに原因がある。例えば、「パスワードは8文字以上」というルールがよく見られるが、その理由は8文字パスワードの組み合わせが約576兆通りもあり、高性能なPCで解析しても、解読に約1年を要するためであるからだ。

　しかし、ショルダーハッキング（のぞき見）で最初の3文字だけも知られてしまうと、残り5文字を解析するのは平均で2分もかからない。これがパスワードの限界である。しかも、誰かがあなたになりすまして不正をしたら、あなたは無事では済まないかもしれない。最悪の場合、職場をクビになって家族を路頭に迷わすことにもなりかねない。

　パスワードは「実印」以上に大事なものであり、しっかり管理する。入力時に周囲に人がいないか確認を徹底しなければならないことを、きちんと教育しないといけない。

---

　情報セキュリティにおけるこうした意識は、感覚としては日本人に馴染みにくい。しかし論理として頭で理解し、体でも覚える。そうすれば本当の意味を理解できるだろう。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。