独立行政法人情報処理推進機構から、生々しいレポートが出ております。
プレス発表 「内部不正による情報セキュリティインシデント実態調査」報告書の公開
この調査、内部不正、特に情報漏洩を行ったことのある200人を対象にしたレポートでして、実際に不正を行ったことのある人の声が聞ける、というのがユニークなところです。
で、情報漏洩に関する我々のイメージというと、おそらく一昨年のベネッセの事件のように、悪意を持った誰かが行うものだと思うかもしれませんが、実際には、以下のように、
参照:IPA プレスリリース(別紙)
半分以上はうっかり、少なくとも故意にルールに違反したり、情報漏洩させてやろうとしてやっているわけではないことがわかります。
逆を言えば、情報漏洩対策の第一歩は、きちんとルールを作成しそれを社員に周知させること、と言うことができます。
ちなみにベネッセ事件について書いたわたしの過去記事はこちら。Twitter経由でかなりバズったんだけど、Blogger時代だったので、今のドメインの地肉(良質のバックリンク)になってないのが悲しい…。
社員を大切にしている会社では情報漏洩が起きにくい
で、これもベネッセ事件の影響かと思うのですが、情報漏洩させる人間というのは、派遣社員や契約社員といった、非正規で、労働条件もあまり良くない社員というイメージがみなさんあると思います。
しかし、以下の表を見ると、
参照:IPA プレスリリース(別紙)
(表の見方は、上段が全体、下段が故意犯。赤太線の囲みは筆者による)
確かに、全体で見ると情報漏洩させる人の中には、派遣社員が3位でランクインしていますが、ベネッセ事件のときのように金銭目的等で故意に情報漏洩させる人に絞ると、派遣社員よりも経営者や役員の方が多くなっています。
また、不正行為の動機を見ても、故意犯の場合、「業務が忙しく終わらせるため持ち出した」とか「処遇や待遇に不満があった」と、会社の労務環境や労働条件の不備・不満が情報漏洩につながっていることが見て取れます。
つまり、故意の情報漏洩を防ぐためには、社員の労働条件を良くしていかないといけないわけです。有り体に言えば、「社員を大切にしている会社」であれば、そうそう情報漏洩なんて起きないと言えます。
流出経路はUSBメモリと電子メールがワン・ツー
情報の持ち出し手段は、ド定番と言えばド定番ですが、USBメモリと電子メールがワン・ツーフィニッシュ。
よって、USBメモリに関しては、業務上使用しなくても問題がないのであれば使わない。社員に持ち込みもさせない。
ただ、今はみんなスマホを持っていて、スマホとPCをケーブルで繋ぐとUSBメモリの代わりにできてしまうので、そのあたりの対策もしないといけません。
となると、対策としては、会社のPCを「外から持ち込まれるUSB接続機器を認証しないようにしておく」必要があるわけです。また、会社内でしか使用しないUSBメモリなどに関しては、会社外部のPC等に接続しても開けないようにしておくといい。
大切なファイルにパスワードをかけるのはセキュリティの基本にしても、それ以外にも、セキュリティ対策の付いたUSBメモリやPCソフトが実際販売されてたりするので、試してみると良いでしょう。
電子メールについては、OutlookのようなPCソフトの場合はログ管理、Gmailのようなクラウドメールの場合は、アカウントへのログインを禁止するといった対策が考えられます。
まとめ
で、情報漏洩者から学ぶ、情報漏洩対策についてですが、
- ルール作りとルールの周知
- 社員が不満をため込まないよう、社員を大切にする
- 当然、PC周りの対策、主にUSBと電子メール周りの対策はきちんとしておく
以上の3つが基本的な対策となります。
ただ、情報セキュリティについてはっきり言ってしまうと、やり始めると切りがないので、自分の会社にあった、自分の会社でできる範囲ではじめ、そして、続けていくことが大事かと思います。続けていくことが大事なんです、これは間違えてはいけません。
続けられなくなって、セキュリティ対策何もしなくなったら意味ないですからね。
なので、初めから継続できそうもないようなとんでもない規模で情報セキュリティを行うのは愚の骨頂なわけです。
