多額のセキュリティ投資と立派な製品を導入した残念な企業の一面萩原栄幸の情報セキュリティ相談室(2/2 ページ)

» 2014年10月31日 08時00分 公開
[萩原栄幸,ITmedia]
前のページへ 1|2       

 さらに本社の人事部をみると、個人情報にアクセスする個人を特定し、その人以外はアクセス不可という厳しいアクセスコントロールがあった。最近問題になったスマートフォンからの情報漏えい防止も完璧に機能していた。

 ところが、その特定のアクセスができるPCはガラス張りの部屋の中にあった。出入口のドアに権限者の1人のIDカードがぶら下がり、人事部全員がパスワードを知っていたのである。

 また従業員の7割が勤務する工場の5階建てビルにも伺った。ビルは管理部署や修理部門、そして設計部門もある。ここではA社長が自慢していたドア指紋認証システムが稼働していた。全ての階の出入口に指紋認証ドアが設置されている。

 しかし、5カ所のうち4カ所が開いていた。その理由はECOと経費倹約のためエアコンの設定温度を高めにしていたら室温が上昇し、暑くてドアを解放していたのだという。

 

さらに、本部から車で1時間ほどの営業店を訪問した。そこには常駐の正規従業員6人とパート1人が勤務しているが、筆者が到着した時は営業所長を含めて、何と正規従業員が全員不在だった。1人のパートは電話番をしており、たいてい日中はこういう状況で緊急連絡はパートから連絡を受ける体制になっていた。

 細かな問題も含めると、何と30以上もの問題点が見つかった。さて、ここからA社長にどういう指導を行うべきか悩んだ。それは、技術でも業務フローでもない。それら以前の問題点として、「人財の教育」(財は当て字)がほとんど行われていなかった。

 ともすれば、経営者は目に見える「物」だけを信じてしまう傾向にある。特に日本人はその感性が強いと、筆者の友人の米国人から聞いたことがある。また、マスコミ受けを狙ったり、世間に対する見栄だったりといった気持ちから、「○○という機器を購入した。これで弊社のセキュリティはさらに強化された」「○○システムを導入した結果、全方向で侵入の検知が可能となった」とかいう類を強調しがちだ。

 しかし情報セキュリティの基本の1つに、どんな防衛システムも「人」が運用するものであり、まずは「人」の教育、訓練、指導が最も大事であるということがある。この分野で30年近く、内部犯罪対策で20年以上、サイバー攻撃など外部脅威の対策で15年以上仕事をしてきた筆者が得た鉄則だ。しかし、経営者はそれよりも最新鋭の防御システムになびいてしまう。

 どんな分野、業種、業態においても、最も重要な財産は商品や高額なシステムではなく、「人」である。仮にどんな大企業でも、そこに働く従業員全員がもし企業精神に反する行為をすれば、あっという間に倒産するだろう。世の中には頭で理解していても実際に行動するのが難しい事は多々ある。セキュリティの理想と現実も同じようなものかもしれない。

 ただし経営者であるなら、リスクを最小化させるために検討した結果を素直にセキュリティへ組み込むことができる。それは経営者にしかできないことでもある。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ