「社内の人間は安全だ」という神話:会社に潜む情報セキュリティの落とし穴(2/2 ページ)
セキュリティ対策では、ウイルスや不正アクセスといった外部からの脅威に備える意識が高いが、脅威は社内にも存在する。「関係者なら大丈夫だ」という意識に落とし穴が存在することもある。
落とし穴は社員以外にも
さて、社内の人間に情報セキュリティを教育して、その行動を変更してもらうのは比較的難しくないように思います。しかし、それだけでは十分ではありません。この「社内」「社外」という考え方がいかに危ういものであるかを建築設計事務所の事件が暗示していますが、読者の会社では、この考えが徹底されているでしょうか。
会社のインタフェースには、役員や従業員、パート、出入りの業者、宅配人、管理会社などさまざまな立場の人間がいますが、この観点で情報セキュリティを考えるなら、程度の差はあるものの、「自分の身は自分で守る」という大原則を認識することが重要です。それぞれの立場の人間について、その行動範囲でどういうものであり、悪いことができる存在であるかを一度議論すべき会社がまだまだ多くあると思います。
会社に関わる人間の中で最も信頼が置かれているのは「警備員」ではないでしょうか。社員や会社の資産をガードする「警察」に近いイメージを持っているからです。しかし、あえて警鐘を鳴らしたいと思います。その警備員が社内で採用された人でも、警備会社から派遣された人でも、完全に信頼のできる人物だと断言できるでしょうか。
もし、会社やビル、フロアで警備員が「悪さ」をしたら、どこまで悪事が可能なのかというリスク分析している会社はどの程度あるでしょうか。その対応策は用意されているでしょうか。恐らくほとんどの企業では、不完全であるのが実情でしょう。わたしは以前、地方銀行を中心に金融機関の警備状況を調査したことがあります。金融機関は、ほかの業種に比べて厳重な警備体制を敷いているはずだという思いもありました。
しかし、結果は期待以下でした。特に警備会社のリーダーや警備会社自体が「不正」を行ったら防御する術を持っているケースはほとんどなかったのです(何年も前の調査ですので、現状は異なっているかとは思います)。「警備員は常に善だ」という確固たる証拠はどこにもありません。警備員の採用は、警察官の採用よりも厳格であるというものではないようで、むしろ採用されやすい業種であるとハローワークの担当者から聞いたこともあります。「そんな事考えたこともない」という企業も多いように思います。そのような場合、リスク管理はどのようにされているのでしょうか。
米国の金融機関では、その回答例の1つとして複数の警備会社と契約しています。例えば銀行本社の警備はA警備会社とB警備会社が請け負い、A警備会社の契約書には、警備対象として本社とその周辺設備、道路などに加えてB警備会社の警備員が記されています。一方、B警備会社の契約書には、A警備会社の警備員が警備対象に加えられています。しかも、AとBの警備会社はそれぞれが全く独立した資本で、両者に跨って関与する大口株主が存在しないことが前提です。
こうすれば、仮にAの警備員が組織的に銀行の機密情報を深夜に搾取しようとしても、その行動をB警備員が監視している訳です。監視モニタールーム全体の管理もAとBがお互いに監視しているという状況です。もし悪事を働くなら、双方が「共犯者」になる必要があり、犯罪を実行する上でのハードルは、警備会社が1社であるのに比べて格段に高くなるわけです。
あくまでも米国の社会事情に基づく対策例ですが、こうしてリスクヘッジすることにより、万が一2つの警備会社が結託して機密情報を盗んだことが判明しても、「ここまで考えていた」「これで漏えいするのであれば仕方がない」と考えることができ、結果として株主代表訴訟などを未然に防止できます。
仮に慣習のまま1社と長年契約を続けて、犯行が起きてしまったらどうなるでしょうか。株主など外部からは、「どうして他社は考慮しないのか。この警備会社から賄賂をもらっているのではないか」「入札で警備費を削減する努力がなく、1社で何十年も継続していたのは“不作為の罪”である」といった批判がいくらでも湧き上がるでしょう。また、それらに対する合理的な反論は非常に難しいものとなります。
セキュリティ対策に例外はありません。セキュリティは、その一番脆い部分からヒビが入り、崩れていくということを十分に認識しなければなりません。
萩原栄幸
株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
- Winny利用の果て――家族崩壊した銀行マンの悲劇
ファイル交換ソフトを使った情報漏えい事件が後を絶たない。公私を問わず不用意に使用することが会社や組織だけでなく、家族や本人の人生にさえも暗い影を落としてしまうことがある。 - 振り込み用紙は“甘い蜜”――コンビニでの個人情報は安心か
日常生活の中ではさまざまなシーンで、個人情報を提供したり、提供を受けたりしている。今回はITから少し離れて、生活に身近な場所での個人情報の取り扱いを考えてみよう。 - USBメモリで広がるウイルスの脅威――感染からPCを守る方法
USBメモリなどを介して感染するウイルスの被害が急増中だ。手軽に持ち運べる利便性から普及したが、それを逆手に取って感染が拡大する。USBメモリウイルスからシステムを守る方法を紹介しよう。 - SSLを過信していませんか――ネットバンキングに潜む誤解とは
24時間いつでも手軽に利用できるオンラインバンキングや決済サービス。金銭をやり取りするこれらのサービスは犯罪者にとって格好の標的なだけに、利用者には正しいセキュリティ対策への理解が欠かせない。 - 詐欺の確信犯とそうではない人――ネットオークション利用を再チェック
インターネットオークションでは、意図的に金銭搾取を狙う詐欺行為に警戒が必要だ。しかし、中には詐欺を間違われる行為もある。購入者と出品者が注意すべき点を再確認してみよう。 - 忘れたデータが山盛り――中古PCからの情報漏えい
PCに保存したデータを「消した」と思っても実際には消えていない。中古で売買されるPCには残されたデータ情報が山盛りだ。ユーザーの認知が広まりつつあるとはいえ、今一度中古PCに潜む危険を再確認してみよう。 - データは消えない――メモリカードやUSBメモリに潜む落とし穴
メモリカードやUSBメモリに記録したデータを「消した」と思っても、完全には消えずに復元できてしまう。第三者に機密情報が知られてしまう恐れがあるのだ。 - オークションとバンキングが標的――統計から見るサイバー犯罪の最新動向
情報セキュリティの専門家・萩原栄幸氏が身近に潜むセキュリティの危険を解説する。第1回目は不正アクセスやネットサービスに絡むサイバー犯罪の最新事情だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.