Whenever ONLINE BUSINESS（ウェネバーオンラインビジネス）：中国（上海北京広東）経済ニュース－　情報セキュリティ対策の勘所(4):禁止と抑止を活用出来心を起こさせない仕組みを

IT 中国

情報セキュリティ対策の勘所(4):禁止と抑止を活用出来心を起こさせない仕組みを

故意の漏洩には仕組みで対応
情報漏洩の原因は過失と故意に分けて考えられます。過失に備えるにはスタッフ1人1人の意識付けが必要であると前回書きましたが、では故意に備えるにはどうすればよいのでしょうか？
故意に持ち出すと聞くと悪意の強い人間だけが行うように思えますが、そうとは限りません。人は出来心を起こすものだからです。そこで、軽い気持ちで持ち出させない、出来心を起こさせない仕組みが必要になってきます。故意で持ち出すケースにおいては、意識付けではどうにもなりませんので、ソフトウェアなどの仕組みを活用する必要性が出てきます。

アクセス権限と自制心で漏洩防止
情報の意図しない持ち出しを防ぐためには、まず必要のない情報にはアクセスさせないという処置が有効です。例えば、全社員の給与情報がサーバに保管されていたとします。このファイルに誰でもアクセスできるとしたらどうなるでしょうか？やはりだれでも他人の給与は気になるものですから、開いてみたり、中には印刷する人も出てくるでしょう。人間は誰でも好奇心がありますから、「関係ない人はみてはいけない」と口頭でいったとしても、それを防ぐことは難しいのです。
そのため、あらかじめ関係のない人にはアクセス権を与えず、システムとして禁止しておくことが重要です。システムをハッキングしてまでアクセス権のないファイルを見ようとする人を除いては、この禁止の仕組みで情報の持ち出しを防ぐことが出来ます。
しかし給与情報は、財務担当者に見せないというわけにはいきません。業務上、必要な情報だからです。この場合、禁止のアプローチでは持ち出しを防げないことになります。
アクセス権がある場合については、人間の心に鍵を掛けるほかありません。ファイル操作などの記録を保存し、全ての操作が記録されていることを社内に告知しておきます。つまり、「不正な操作は会社で監視していますよ」という明確なメッセージを送るわけです。こうすることによって出来心で持ち出したりすることを抑止できます。もちろん操作記録を逐次、精査できた方がいいのですが、そうでなくとも十分な抑止効果を期待できます。明確な悪意を持った人間でなければ、人に見られていると意識した時点で自制心が働くからです。

不正を行う人間を出さない環境整備を
規則を作り、違反者を罰するという制度だけでは、会社を離れていく人には対処できません。辞めてしまえばその会社の規則には縛られないからです。不正を行う人間を身内から出さないに越したことはありません。禁止と抑止を有効的に利用して、仕組みを整える必要があります。社員が出来心を起こさず業務を遂行し、社内で十分に力を発揮して活躍できる環境を会社側が整えることも、また重要ではないでしょうか。

以前のコラム
情報セキュリティ対策の勘所(3):効果的にバックアップリスクを算定し手順の把握を
情報セキュリティ対策の勘所(2):効果的にバックアップリスクを算定し手順の把握を
情報セキュリティ対策の勘所(1):日常的対策も重要利用規定の明文化と徹底を

情報提供：

BiZpresso Vol.37 1月22日発行

2008/02/29 更新

森本孝明氏

善誠科技発展(上海)
[住所] 上海市漕河啓涇開発区宜山路900号科技大楼D区1001室
[電話] 021-5423-5599×202 / [FAX] 021-5423-5225
[URL] www.gweg.co.jp/shanghai
[E-mail] k-morimoto@gweg.co.jp