成功体験を積み重ね、セキュリティ意識を血肉に 牧野弁護士:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
コンプライアンスや社内統制を強化しても一向になくなる気配のない企業の情報漏えい。どうすれば漏えいリスクは回避できるのか。IT弁護士として名高い牧野氏が、多くの企業に見られるセキュリティ意識の問題点と改善策を語る。
セキュリティ意識の高い企業から機密情報が流出
顧客情報をはじめとする企業の機密情報の漏えい事件が後を絶たない。JNSA(NPO日本ネットワークセキュリティ協会)の報告によれば、2008年度の情報漏えい件数は1373件。2002年度が63件であったことを考えると、情報漏えいのリスクは少なくなるどころか、圧倒的に高まってきている。情報漏えいは企業の信頼を失墜させ、被害が大きければ企業の存亡まで問われかねない。それほど大切なことなのに、なぜ情報漏えいの事件、事故はなくならないのだろうか。
アイティメディアが2月25日に開催した経営層向けのセミナー「第13回 ITmedia エグゼクティブセミナー」に登壇し、「相次ぐ不祥事 なぜ情報漏えいは後を絶たないのか」と題した基調講演を行った牧野二郎弁護士は、「情報漏えいが取りざたされる企業は、えてしてセキュリティに対する意識の高いところが多い」という見解を示した。情報管理のルール作りを行い、企業内部を統制する管理体制を整え、社外のコンサルタントにリスク対策を依頼し、という万全な体制で臨んでさえ起きてしまうのが情報漏えいだというのである。
情報漏えいが起きる原因には、「情報の流通過程で起きるバグ、人間の不完全さで起きるバグ、システムの欠陥で起きるバグの3つがある」と牧野氏は述べる。情報のバグとは、経営陣や管理職、実務担当者の間に起きるコミュニケーション不足が原因となるものだ。人間のバグとは、ノートパソコンの紛失やWinnyをはじめとするP2Pソフトの使用などによるものである。システムのバグとは、プログラムやデータをコンピュータで管理する中で起きるエラーやシステムの不備によるものだ。
情報を流通させるシステムや機器のプログラミングは、元をたどれば人間が手掛けたものだ。人間を不完全なものとするならば、情報漏えいの機会はあらゆる場面に存在していると言うことができるだろう。だとすれば、企業はリスクに対して何も手を打つことはできないのか、何もやらなくてもよいのか。決してそういうことではない。情報漏えいの回避のために、企業はより正しい取り組みを徹底して行わなくてはならないのである。
“やっているつもり”のリスク回避では通用しない
例えば、社員がノートパソコンを社外に持ち出すときに上司の許可が必要だとしよう。その際、上司は部下のパソコンにどんなデータが入っているか完全に把握できていなければ、それは許可ではなく単に持ち出しを認識したというレベルに過ぎないと牧野氏は指摘する。
また、システムやプログラムの設計を外部に委託する場合、セキュリティ担当者にはIT技術者と同等レベルの知識が必要だとも牧野氏は語る。なぜなら、知識が不足している場合、出来上がったシステムにバグがあったとしても、その誤りを指摘することができないためだ。
「担当者に知識がない場合は、知識のあるIT技術者や専門家をもう一人立てて、システムなど成果物の監視を依頼するとよい。経費は余計に掛かるが情報漏えいで発生する損失に比べれば微々たるものである。そこまでやらなくてはならないのだ」(牧野氏)
人間によるバグを防ぐため社内に徹底したルールを敷くことは、実はあまり効果がない場合も多いという。ルールが細かくなればなるほど、社員一人一人が把握できる規律の範囲を越えてしまい、形骸化してしまうからだ。また、セキュリティ教育に力を入れようにも、正しく行われなければ効果は薄いという。
Copyright © ITmedia, Inc. All Rights Reserved.