Sphere System Consulting ltd. スフィアシステムコンサルティング株式会社

Vol.97 いま改めて情報セキュリティを問う

 コラム

いま改めて情報セキュリティを問う

 

個人情報流出のニュースが後を絶ちません。情報セキュリティの世界はイタチごっこの状態なのでやむを得ない状況ではあります。だからと言って、何もしないでいいというわけでもありません。

 

情報漏えいの事件がある度に、情報セキュリティへの関心は高まります。
プライバシーマークを取得する企業も増え、資格の更新を続けていれば情報セキュリティのレベルも高水準を維持できます。大きな組織になればプライバシーマーク以外にも内部監査等の監査項目が増えるので、ルールを守ることに関しても啓発ができています。

 

ところが、です。

 

対策をしているはずなのに情報漏えい事故は減りません。
攻撃する側と防御する側のイタチごっこという側面はもちろんありますが、実態は、情報漏えい事故の比率で言うと、外部からの攻撃よりも内部からの流出の方が多いのです。
正面の扉は頑丈に戸締りしているのに、裏口から情報を誰かが持ち出してしまうケースが多いということです。

 

外部からの攻撃をブロックする防御に関しては、方法は様々ですが、コストを掛ければとりあえずの対応は可能です。しかし、内部からの流出となると簡単にはいきません。勉強会を開いたり社内教育を実施したとしても難しいのが現状です。内部からの流出は複雑な背景が絡み合っています。

 

まず前提として、情報セキュリティの強化は利便性を失うということがあります。
情報セキュリティを強化すれば不便なことが増えるということなのです。業務を推進する現場としては必要性を感じながらも多少の負荷が掛かっています。

 

一昔前の話ですが、終わらない仕事を家に持ち帰ることも可能でした。仕事に必要なデータを社内で使っているノートパソコンに移したり、必要なデータだけを抜き取ったり、セキュリティについてうるさく言われない時代はこんなことが可能でした。

 

このような一昔前のことを今やってしまうとどうなるか?は言うまでもありません。
情報セキュリティを高めるという事は、仕事を持ち帰れないだけでなく、日々の業務にも制約が入るという事を意味しています。

 

プライバシーマークをはじめとした監査は、細かなレベルまで見れば形骸化したチェックもあるものです。大きな調査項目でのごまかしは効きませんが、細かなルールだけで見れば監査に合格する為だけのその場しのぎの対応も少なくありません。

 

ガチガチのルールを作ってしまえば面倒で業務がしにくいので、監査の時だけ「いつもやっている風」に見せることがあります。これはインチキで監査を通過しているのではなく、ツッコミを受けないように過剰なセキュリティ体制を演じているといった方が適切かもしれません。

 

このような、ルールに対し厳格な姿勢なのか甘い姿勢なのかが曖昧な「場の空気」は良い影響はありません。内部からの流出に対し、社員の教育だけで対応できない理由のひとつにはこうした「場の空気」が影響しています。

 

セキュリティ監査の場合、自社にとって本当に適しているかもわからない画一的な監査チェック項目にも問題はありますが、様々な問題を放置している組織の「場の空気」は更に良いものではありません。

 

不都合なモノを見て見ぬふりではなく、良いものも悪いものも認めたうえで、どうするか?が一番重要です。

 

昨今の情勢から考えて、個人情報は持たない方が良いが、業務上持たざるを得ない場合は情報セキュリティは徹底的にやる姿勢が求められます。

 

徹底的にやる上で、不都合なモノを見て見ぬふりはダメです。
セキュリティのためのルールを設定し守るには、納得できる理由と適切な「場の空気」が必要です。「場の空気」は重要視されにくい部分ですが、これこそが内部流出の大きな抑止力になるはずです。