情報漏えい問題が特にクローズアップされるようになって3年ほどが経過している。この間,個人情報保護法の施行もあり,企業のセキュリティ・マネジメント体制は大幅に強化されてきた。しかし,実際には情報の盗難・紛失事故の発生件数は減っていない減。その原因としては,「ユーザーが禁止されている行為をしてしまう」「ユーザーがミスを犯してしまう」---の2点が挙げられるだろう。今回の記事では,「なぜこうしたことが起きるのか」「どのような対策を施せばよいのか」について,セキュリティ・マネジメントの観点から考えてみたい。
禁止事項やリスクを知らない
情報漏えい事件というと,「ユーザーの悪意によるケース」を思い浮かべる方は少なくないだろう。実際,悪意による事件は発生している。しかしながら,事件事故の現実として,悪意による件数は比較的少ないことから,今回の記事では,ユーザーの悪意に起因する事件事故は検討対象から外した。
まず,「やってはいけないこと」をユーザーにさせている原因としては,大きく分けて以下の4つが考えられる。
(1)「やってはいけないこと」を知らない (2)顧客が喜ぶサービスを提供したいという気持ち (3)会社のためにやっているという勘違いの自負 (4)自分だけは大丈夫という根拠のない自信
(1)については,そもそも禁止事項を知らないので,ユーザーに“罪悪感”は一切ない。(2)と(3)については,禁止されていることを知っていても,それをおこなうことのリスクを分かっていないために,業務の遂行を優先させてしまう。(4)についても,(2)と(3)と同様である。リスクが分かっていないために,根拠のない自信が生まれる。
これらのいずれについても,不足していることはユーザーへの「徹底的な周知」と言えるだろう。「やってはいけないこと」をさせないためには,禁止事項と罰則規定について十分な教育を実践する必要がある。
その際には,禁止事項と罰則規定を覚えさせるだけでは効果は薄い。禁止事項を覚えさせれば(1)による事件事故は防げるが,(2)~(4)については防げない。「なぜ禁止しているのか」「禁止事項をおこなうと,(自分ばかりではなく)組織にとってどのようなことが起こりうるのか」---といったことをできるだけ分かりやすく伝える必要がある。後者については,事件事故を起こした企業に関する報道などを例に,「事件事故を起こすと,企業の信用が失墜し,当事者が解雇されるだけでは済まない事態になりうる」といったことを示すと効果があるだろう。
管理する側としては,徹底的な周知によってユーザー(社員)に「自らの行動によって発生する危険性(リスク)を知らない」と言わせないことが重要なのである。また,禁止事項が業務に与える影響についても十分に把握しておく必要がある。禁止事項が,顧客へのサービス・レベルや業務効率を低下させる可能性を常に意識し,苦情などが発生した場合には,禁止事項の見直しなどを検討するよう心がけたい。
不可避のミスはシステムでカバー
次に,ユーザーのミスに起因する事件事故だが,これは前述のケースとは異なり,100%防ぐことが困難であることは,誰もが納得することだろう。「やってはいけないことを100%防ぐこと」はユーザーへの教育で実現可能(むしろ,あたり前と考えるべき)だが,人間である限り,ミスをすることは避けられない。
そこで組織としては,可能な限りミスを減らす方策を考えるべきだろう。具体的には,ミスが起こりそうな業務フローを洗い出して,予防対策を施すことが効果的だ。だが,それでも突発的なミス(想定外のミス)を防ぐことはできない。そこで,「そもそもミスは起こるもの」として「事故前提型の対応」を導入することをお勧めしたい。「ミスは起きるが,そのミスによる損失は最低限にとどめることができる」という考え方である。
一例としては,PCのハード・ディスクの暗号化が挙げられる。万が一PCを盗まれても,情報は渡さないという事故前提型の対策といえる。また,ゲートウエイでの送信メールのチェックも,メール・アドレスの入力ミスによる重要情報の誤送信などを防げるので,事故前提型の対策といえるだろう。
以上のように,組織のセキュリティレベルを高めるためには,関係者全員のセキュリティ意識を高めることが不可欠である。それにより,ユーザーが禁止されている行為をすることで発生する事件事故を防ぐとともに,ユーザーがミスを犯す可能性を小さくできる。それでもなお,ミスを犯す可能性はゼロにはできないので,システム側で事故前提型の対応をおこなうことが重要となる。
東山 栄一 (HIGASHIYAMA Eiichi) 
NECソフト株式会社 営業本部・コンサルティンググループ
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
