内部不正による情報漏えいを減らす方法は?:歴史的事件から考える(3/3 ページ)
企業や組織の関係者による機密情報の漏えいは非常に対策が難しいといわれる。最近でも教育サービス企業から大量の個人情報が持ち出される事件が起きたばかりだが、このリスクにどう対処すべきか。情報セキュリティ業界の専門家が議論を交わした。
事件発生を防げたのか?
ワークショップの後半では「今回の事件を防ぐことができたのか」「内部不正をどう防ぐのか」について各氏が意見を述べた。
高橋氏は、「技術的対策が講じるべき点は技術を活用すべきで、運用を適切に行う仕組みが大切」と語る。セキュリティのリスク全てを技術的対策でカバーすることは難しいものの、技術的対策を適切に機能させるための環境を構築することがリスクの低減につながるという見方だ。
また、丸山氏も同様に技術的対策を適切に機能させることの重要性を挙げた。「ルールがシステムに実装されていないのでは意味がない。技術を活用して人的なリソースを不正の発見に集中させるなどのアプローチが大切」と話した。
青嶋氏は、技術革新などによる変化に対応していくことの重要性を挙げる。今回の事件で外部メディアのデータ書き込み防止ツールを当該企業が活用できなかったケースのように、新しい技術によって考慮しなければならないセキュリティ上の脆弱点は幾つもあり、技術のメリット・デメリットを踏まえた対策を考えていくことが求められる。
稲垣氏は、各種監査を確実に実施することの必要性を提起している。同氏によれば、弁護士が重視するポイントが企業の監査計画や実施状況であるといい、監査が形骸化しているケースは一目で見抜かれる。「現在の様々な監査制度は十分に機能するものばかり。内部監査であっても適切に設計されていれば、実施できるようになっている」という。
ワークショップにおける議論では人的、技術的な対策手法や制度などについては、それらが適切に活用されれば機能するものの、そのための運用において社会的な情勢や人の意識、行動などの面が十分に追従していないという課題が浮き彫りになった。情報セキュリティのリスクをもらたすのが人であれば、その対策を担うのもまた人だといえる。内部不正と情報漏えいの対策では「人の問題」が古くから議論されてきたものの、社会に深くITが浸透している今、改めてこの問題を真剣に考え直す必要がある。
関連記事
- 内部関係者の不正行為、その本質と対策とは?
- ベネッセの情報漏えいはなぜ起きた? 調査報告で問題詳細が明らかに
- 「セキュリティに過信があった」、ベネッセが情報漏えいの再発防止策を発表
- ネットの信頼を支える基盤が崩壊? セキュリティ騒動で浮上した課題
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.