2014年7月に明らかになったベネッセコーポレーションの事件のように、内部犯行による情報漏洩事件が後を絶たない。顧客情報などを漏洩されると信用の失墜は免れず、今後のビジネスに多大な影響を与える。そこで日経コンピュータでは、内部犯行対策に関する特集記事を予定している。

 筆者は、同記事を担当する記者の取材に同行し、セキュリティベンダーやセキュリティ専門家、ユーザーなどに話を聞いた。そこで感じたのは、内部犯行者にはブラフ(はったり)は通用しないということだった。対策が不十分であるにもかかわらず「対策をしているぞ」と言っても、内部犯行者にはブラフだと見抜かれて、抑止力にはならないのだ。

“裏ワザ”はなかった

 内部犯行対策というと、「データへの不正なアクセスを検出するツールを導入する」といった、コストがかかる対策が挙げられることが多い。そこで今回の取材では、コストがかからない“裏ワザ”的な対策がないかを聞いて回った。

 例えば、「フロアのレイアウトを○○のようにすれば、内部犯行を防げる」や「データの保存方法を○○にするだけで効果がある」「セキュリティ教育をする際には○○を追加するだけで劇的に効果が上がる」といったように、手軽でかつ効果的な対策がないか、各所で聞いた。

画面●情報処理推進機構(IPA)が公開する「組織における内部不正防止ガイドライン」
画面●情報処理推進機構(IPA)が公開する「組織における内部不正防止ガイドライン」
[画像のクリックで拡大表示]

 だが、そのようにうまい話はなかった。あれば当然、みなさん実施しているだろう。やはり、「コストをかけてツールを導入する」「コストをかけて監視体制を強化する」「コストをかけて教育を充実させる」――といったように、コストをかけることが必須。そのためには、経営陣の理解が不可欠だ。「コストをかける」といっても、万一の事態で発生する損害額に比べれば、ゼロの数は圧倒的に少ない。ここでケチると後々大変なことになることを、経営陣は認識すべきだ。

 内部犯行の防止に関して、経営陣が果たすべき役割などは、情報処理推進機構(IPA)が公開する「組織における内部不正防止ガイドライン」などが参考になるだろう(画面)。同ガイドラインは2013年3月に公開されているが、相次ぐ内部犯行を受けて、2014年9月末に改訂された。