“企業に役立つリスクマネジメント”を振り返る:ビジネスに差がつく防犯技術(14)(1/2 ページ)
本連載では“防犯”の観点から、社内のさまざまな問題を取り上げてきた。今回は、前回に引き続きいままでの総括としてソーシャルエンジニアリングの危険性や自己満足で終わっている記録、HAZOPとガイドワードの重要性などの防犯技術の肝を事例を交えて紹介する。
さて、今回はいままで連載してきた内容について振り返りながら、防犯の技術を整理していく。
前回からから引き続き、いままで連載してきた内容について振り返りながら、防犯の技術を整理していく。連載中には触れていなかった事例や補足説明も加えた。
リスク放置は取締役の善管注意義務違反
米国では企業のコンプライアンスマネジメントへの積極的な取り組みを促進するものとして、1991年に施行された連邦量刑ガイドラインというものがある。管理体制が確立されていることによって、会社犯罪の発生時に量刑を軽減してあげようというものである。
日本ではこうした明確な方針が出ていないことと、会社犯罪の発生時に取締役の善管注意義務違反まで問われることがあまりないため、リスクマネジメントに対する意識が低い。
しかし、業務の複雑化や雇用関係の多様化など、企業を取り巻くリスク自体は高まっている。機密情報を安易にFAX送信したり、運搬中に酒を飲みにいくことはないだろうか。いつまでも計算ミスをし続けるプログラムや、スプレッドシートはないだろうか。
ソーシャルエンジニアリングに注意
前回、性善説でも性悪説でもない性弱説が正しく、誰もが動機と正当化と機会がそろったときに、不正をしてしまう素質を持っていることを説明した。
しかし、世の中には根っからの悪者も少なからず存在することも確かである。悪意の第三者に対する不注意もまた禁物である。
ソーシャルエンジニアリングにだまされないようにするのは簡単なことではないが、用心することである程度の防衛はできる。なぜなら、用心していれば、彼らはあなたをだますのをあきらめて、もっとだましやすい相手を改めて探すからだ。彼らも危険は犯したくないのである。ここでは、いくつかのソーシャルエンジニアリングの手法を紹介する。
○なりすまし
「パスワードを忘れたので教えてください」など、誰かになりすまして不正侵入や不正アクセスをしようとする手法。本人そのものではなく、本人を知っている別の人を間接的に知っていた者になりすますなど、手の込んだなりすましでは、気が付くことも容易ではない。
○トラッシング(スカビンジング)
ゴミをあさって重要情報を探り当てる手法で、実行者側に危険が少ない。
機密情報はシュレッダーかけていると安心してはいけない。先のなりすましに使えそうな情報が手に入れば十分な場合もある。
○ピギーバック
入館や入室時に同伴者を装って入り込む方法。
ICカードを持たせていても、昼休みに1人だけがリーダーにかざし、ほかの者は後ろからついて入室しているような光景はないだろうか。受付でも、「ほかのグループにさりげなくついていけば入館できる」ということはないだろうか。
○ショルダーハック
背中越しにPCの画面や机上の資料をのぞき込む手法。エレベータや休憩室、喫煙コーナー、近くの飲み屋などで無関心を装いながら聞く耳をたてるというやり方もある。
見もしない記録は必要なときに役立たない
入退室記録の内容を後で点検することはあるだろうか。
後で誰も確認しない記録など、必要ない。
1度も見たことのない記録を見てみれば分かる。そこには使い道のない情報だけが書き込まれているからだ。あいまいな記録があると、異常があったのかなかったのかの見分けがつきにくくなる。
「正常」「異常なし」だということが明確に分かるように書いておかないと、不正や事故の発見も遅れてしまう。
HAZOPとガイドワードで危険をあぶり出す
「no、not(何もしない)」「more(多過ぎる)」「less(少な過ぎる)」「as well as(〜と同じ)」「part of(足りない)」「reverse(逆さま)」「other than(違う)」といったHAZOPのガイドワードを使うと、気分的な「危ない」を、具体的な「危険」として見えるようにすることができる。
「不正アクセス」であれば、「派遣社員がアクセスできる範囲が広過ぎる」「退職者が退職日を超えてシステムにアクセスできる」「不正アクセスの形跡が残っているのに何もしていない」といったように。何が危険かも分からない状況では、何も守れない。
リスクについての教育や議論では、より具体的な事例を題材として話し合うことが大切である。
説明責任のない専門分業は無法地帯
説明責任(アカウンタビリティ)とは、他人の財産を受託している者が「それをいかに管理して正しく処理したかを、いつでも証拠を示して説明できるようにしておく義務」である。
説明責任は社内外にかかわらず、受託者に対して当然に発生するものだが、自覚していない者が多いため、規程や契約書に明記すべきかもしれない。
特にIT業務など専門性の高いものでは、経営者自身が利害関係者に説明できるように、システム部門や委託先に対して説明責任を求めることが必要だ。「ITは分からない」では済まされないのである。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。