連載
» 2009年07月09日 12時00分 公開

ビジネスに差がつく防犯技術(14):“企業に役立つリスクマネジメント”を振り返る (1/2)

本連載では“防犯”の観点から、社内のさまざまな問題を取り上げてきた。今回は、前回に引き続きいままでの総括としてソーシャルエンジニアリングの危険性や自己満足で終わっている記録、HAZOPとガイドワードの重要性などの防犯技術の肝を事例を交えて紹介する。

[杉浦司,杉浦システムコンサルティング,Inc]

 さて、今回はいままで連載してきた内容について振り返りながら、防犯の技術を整理していく。

 前回からから引き続き、いままで連載してきた内容について振り返りながら、防犯の技術を整理していく。連載中には触れていなかった事例や補足説明も加えた。

リスク放置は取締役の善管注意義務違反

 米国では企業のコンプライアンスマネジメントへの積極的な取り組みを促進するものとして、1991年に施行された連邦量刑ガイドラインというものがある。管理体制が確立されていることによって、会社犯罪の発生時に量刑を軽減してあげようというものである。

 日本ではこうした明確な方針が出ていないことと、会社犯罪の発生時に取締役の善管注意義務違反まで問われることがあまりないため、リスクマネジメントに対する意識が低い。

 しかし、業務の複雑化や雇用関係の多様化など、企業を取り巻くリスク自体は高まっている。機密情報を安易にFAX送信したり、運搬中に酒を飲みにいくことはないだろうか。いつまでも計算ミスをし続けるプログラムや、スプレッドシートはないだろうか。

ソーシャルエンジニアリングに注意

 前回、性善説でも性悪説でもない性弱説が正しく、誰もが動機と正当化と機会がそろったときに、不正をしてしまう素質を持っていることを説明した。

 しかし、世の中には根っからの悪者も少なからず存在することも確かである。悪意の第三者に対する不注意もまた禁物である。

 ソーシャルエンジニアリングにだまされないようにするのは簡単なことではないが、用心することである程度の防衛はできる。なぜなら、用心していれば、彼らはあなたをだますのをあきらめて、もっとだましやすい相手を改めて探すからだ。彼らも危険は犯したくないのである。ここでは、いくつかのソーシャルエンジニアリングの手法を紹介する。

○なりすまし

 「パスワードを忘れたので教えてください」など、誰かになりすまして不正侵入や不正アクセスをしようとする手法。本人そのものではなく、本人を知っている別の人を間接的に知っていた者になりすますなど、手の込んだなりすましでは、気が付くことも容易ではない。

○トラッシング(スカビンジング)

 ゴミをあさって重要情報を探り当てる手法で、実行者側に危険が少ない。

 機密情報はシュレッダーかけていると安心してはいけない。先のなりすましに使えそうな情報が手に入れば十分な場合もある。

○ピギーバック

 入館や入室時に同伴者を装って入り込む方法。

 ICカードを持たせていても、昼休みに1人だけがリーダーにかざし、ほかの者は後ろからついて入室しているような光景はないだろうか。受付でも、「ほかのグループにさりげなくついていけば入館できる」ということはないだろうか。

○ショルダーハック

 背中越しにPCの画面や机上の資料をのぞき込む手法。エレベータや休憩室、喫煙コーナー、近くの飲み屋などで無関心を装いながら聞く耳をたてるというやり方もある。

見もしない記録は必要なときに役立たない

 入退室記録の内容を後で点検することはあるだろうか。

 後で誰も確認しない記録など、必要ない。

 1度も見たことのない記録を見てみれば分かる。そこには使い道のない情報だけが書き込まれているからだ。あいまいな記録があると、異常があったのかなかったのかの見分けがつきにくくなる。

 「正常」「異常なし」だということが明確に分かるように書いておかないと、不正や事故の発見も遅れてしまう。

HAZOPとガイドワードで危険をあぶり出す

 「no、not(何もしない)」「more(多過ぎる)」「less(少な過ぎる)」「as well as(〜と同じ)」「part of(足りない)」「reverse(逆さま)」「other than(違う)」といったHAZOPのガイドワードを使うと、気分的な「危ない」を、具体的な「危険」として見えるようにすることができる。

 「不正アクセス」であれば、「派遣社員がアクセスできる範囲が広過ぎる」「退職者が退職日を超えてシステムにアクセスできる」「不正アクセスの形跡が残っているのに何もしていない」といったように。何が危険かも分からない状況では、何も守れない。

 リスクについての教育や議論では、より具体的な事例を題材として話し合うことが大切である。

説明責任のない専門分業は無法地帯

 説明責任(アカウンタビリティ)とは、他人の財産を受託している者が「それをいかに管理して正しく処理したかを、いつでも証拠を示して説明できるようにしておく義務」である。

 説明責任は社内外にかかわらず、受託者に対して当然に発生するものだが、自覚していない者が多いため、規程や契約書に明記すべきかもしれない。

 特にIT業務など専門性の高いものでは、経営者自身が利害関係者に説明できるように、システム部門や委託先に対して説明責任を求めることが必要だ。「ITは分からない」では済まされないのである。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ