ワークショップの後半では「今回の事件を防ぐことができたのか」「内部不正をどう防ぐのか」について各氏が意見を述べた。
高橋氏は、「技術的対策が講じるべき点は技術を活用すべきで、運用を適切に行う仕組みが大切」と語る。セキュリティのリスク全てを技術的対策でカバーすることは難しいものの、技術的対策を適切に機能させるための環境を構築することがリスクの低減につながるという見方だ。
また、丸山氏も同様に技術的対策を適切に機能させることの重要性を挙げた。「ルールがシステムに実装されていないのでは意味がない。技術を活用して人的なリソースを不正の発見に集中させるなどのアプローチが大切」と話した。
青嶋氏は、技術革新などによる変化に対応していくことの重要性を挙げる。今回の事件で外部メディアのデータ書き込み防止ツールを当該企業が活用できなかったケースのように、新しい技術によって考慮しなければならないセキュリティ上の脆弱点は幾つもあり、技術のメリット・デメリットを踏まえた対策を考えていくことが求められる。
稲垣氏は、各種監査を確実に実施することの必要性を提起している。同氏によれば、弁護士が重視するポイントが企業の監査計画や実施状況であるといい、監査が形骸化しているケースは一目で見抜かれる。「現在の様々な監査制度は十分に機能するものばかり。内部監査であっても適切に設計されていれば、実施できるようになっている」という。
ワークショップにおける議論では人的、技術的な対策手法や制度などについては、それらが適切に活用されれば機能するものの、そのための運用において社会的な情勢や人の意識、行動などの面が十分に追従していないという課題が浮き彫りになった。情報セキュリティのリスクをもらたすのが人であれば、その対策を担うのもまた人だといえる。内部不正と情報漏えいの対策では「人の問題」が古くから議論されてきたものの、社会に深くITが浸透している今、改めてこの問題を真剣に考え直す必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.