一番怖い“善良な社員”――情報漏えいを起こさないためには:会社に潜む情報セキュリティの落とし穴(2/2 ページ)
企業の情報漏えい事件は組織内部の人間が関わることが多い。原因の大半を占める「過失」と「故意」へどのように対処していくべきかを考察する。
“善良な”社員に情報漏えいをさせないために
それでは内部が原因となる情報漏えいを起こさないための方法を、不注意と故意の2つの面からみてみましょう。
まず不注意への対処では、基本的な作業を徹底します。
- メールアドレスの確認
- FAX番号の確認
- 封書の密封と内容確認
- 社員、派遣社員による情報持ち出しの禁止もしくは制御
- 情報の目的外使用の禁止
- PCやモバイル機器の管理徹底と情報持ち出しの原則禁止
- 堅牢なWebシステムの構築
故意によるものを防ぐには、やはり「当たり前」といわれる対策を徹底すべきでしょう。
- 不正な情報持ち出しができないポリシーの設定や漏えい防止システムの構築
- 暗号化システムによる社外PCへコピー禁止など
当たり前の内容を確実に実施することこそセキュリティ対策の基本です。ただし、不注意の場合は本当にすべてのことが不注意によって起きてしまったということでしょうか。不注意だとはしながらも、実は必然的に情報漏えいへつながるだろうという行為を日常的に繰り返している人が一番危険なのです。こうしたケースでは企業ごとに独自の対応が必要になります。
この連載でも何度か紹介しましたが、仕事を一生懸命にしようといった「善意の行為」によって情報漏えいが起きることが少なくありません。このような場合、「残業しても仕事が終わらない」「性格がルーズ」「昔からの仕事方法を変えられない」「会社のために努力している」「会社の言うことしたがっていたら良い仕事ができない」――ということが理由になりますが、一方で「99%は大丈夫だろう」と思い込みがちです。万が一の場合は個人も会社も大きなダメージを被ると分かっていても、そのままの意識でいます。啓蒙活動をしても、社則で情報の利用を厳しくしても、実際にはそれらを守れない職場や部署、人がいるのであれば、せっかくの対策が「絵に描いた餅」になるだけです。
「対策している」という思い込み
社会的に情報漏えいの事件や事故が後を絶たない中、多くの企業では「情報漏えいを防止する」という大義名分の基で導入した対策が職場のやる気を委縮させたり、社員のモラルを低下させたり、暗い雰囲気を漂わせるといったことにつながり、その結果として善意が原因となった情報漏えいが急増しています。多くの企業がこのような環境にあり、明日には情報漏えい事件の謝罪をしなければならなくなる恐れがある企業が少なくありません。
情報漏えいを防ぐには、管理者や責任者、担当者がルールの策定やその強化、検知や防止のためのシステム構築、運用などを通じて監視するだけでは意味がありません。会社全体や部門、業務領域などの集団の活動状況を把握し、モラルの低下や勤労意欲の減退、生産性低下、収益下降という事態を防止しなければなりません。そのためには啓蒙活動や職員のメンタルケアを積極的に行い、職場の意見に耳を傾けて、情報漏えいにつながる要因を検証することが非常に重要となります。従って時には担当者が経営側へ進言することも必要な場合があります。
情報セキュリティの業務を担当する人の一部には、仕事をパッチワークのように考えて「自分はポリシーの策定だけをすればいい」といった誤った考えを持っています。セキュリティ対策を効果的なものにするために、現状の「人」「モノ」「金」のリソースやシステム、業務フローなどの制約条件に対して、セキュリティルールの新設や強化、報告、監査の対策が職員に過大な負担を強いることになっていないか、結果的に破綻する状況になってはいないかと、必ず検証すべきです。
巨大で堅牢なダムも一番弱い部分から亀裂が入るように、組織の情報漏えい事故も同じように弱い部分から起こります。新しいルールや対策システムの導入がどの業務職域や組織、人に影響し、それらが耐えられるものであるかを現場で確認してみることから始めてはいかがでしょうか。既に決壊しつつある実情が判明するかもしれません。
善意による情報漏えいを起こさないためには、最も弱い人間が守れないルールや対策を押し付けないことが大切です。情報漏えい対策が立派なものになればなるほど、実際にはそのリスクが大きくなるという一面を忘れないでください。
萩原栄幸
株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
- iPodから情報漏えい、職場に持ち込むモバイル機器に注意せよ
ポータブルプレーヤーやスマートフォンなどの普及で、職場に個人のモバイル機器を持ち込む従業員が増えている。モバイル機器からの情報漏えいが懸念されるが、企業では対策やルールについて考えているだろうか。 - セキュリティ投資は無駄金? 競争優位に変える身近な方法
「仕方がないからやる」というセキュリティ投資への意識を改めてはいかがだろうか。多額の資金をかけずにセキュリティを競争優位性へと変えていく第一歩を紹介しよう。 - あなたの会社は大丈夫? USBメモリの使い方を考える
データ漏えいやウイルス感染などUSBメモリにまつわる脅威が増加中だ。安価で便利なUSBメモリを安全に使っていくための方法を考察する。 - のぞき見だけで不正アクセス、内部犯罪はローテク見本市
企業内からの情報漏えい事件では社内の人間が関与するケースが少なくない。彼らは周囲の人間が驚くほど簡単な手段で情報の持ち出しを試みている。 - 「社内の人間は安全だ」という神話
セキュリティ対策では、ウイルスや不正アクセスといった外部からの脅威に備える意識が高いが、脅威は社内にも存在する。「関係者なら大丈夫だ」という意識に落とし穴が存在することもある。 - Winy利用の果て――家族崩壊した銀行マンの悲劇
ファイル交換ソフトを使った情報漏えい事件が後を絶たない。公私を問わず不用意に使用することが会社や組織だけでなく、家族や本人の人生にさえも暗い影を落としてしまうことがある。 - 振り込み用紙は“甘い蜜”――コンビニでの個人情報は安心か
日常生活の中ではさまざまなシーンで、個人情報を提供したり、提供を受けたりしている。今回はITから少し離れて、生活に身近な場所での個人情報の取り扱いを考えてみよう。 - USBメモリで広がるウイルスの脅威――感染からPCを守る方法
USBメモリなどを介して感染するウイルスの被害が急増中だ。手軽に持ち運べる利便性から普及したが、それを逆手に取って感染が拡大する。USBメモリウイルスからシステムを守る方法を紹介しよう。 - SSLを過信していませんか――ネットバンキングに潜む誤解とは
24時間いつでも手軽に利用できるオンラインバンキングや決済サービス。金銭をやり取りするこれらのサービスは犯罪者にとって格好の標的なだけに、利用者には正しいセキュリティ対策への理解が欠かせない。 - 詐欺の確信犯とそうではない人――ネットオークション利用を再チェック
インターネットオークションでは、意図的に金銭搾取を狙う詐欺行為に警戒が必要だ。しかし、中には詐欺を間違われる行為もある。購入者と出品者が注意すべき点を再確認してみよう。 - 忘れたデータが山盛り――中古PCからの情報漏えい
PCに保存したデータを「消した」と思っても実際には消えていない。中古で売買されるPCには残されたデータ情報が山盛りだ。ユーザーの認知が広まりつつあるとはいえ、今一度中古PCに潜む危険を再確認してみよう。 - データは消えない――メモリカードやUSBメモリに潜む落とし穴
メモリカードやUSBメモリに記録したデータを「消した」と思っても、完全には消えずに復元できてしまう。第三者に機密情報が知られてしまう恐れがあるのだ。 - オークションとバンキングが標的――統計から見るサイバー犯罪の最新動向
情報セキュリティの専門家・萩原栄幸氏が身近に潜むセキュリティの危険を解説する。第1回目は不正アクセスやネットサービスに絡むサイバー犯罪の最新事情だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.