2010年6月13日日曜日

情報漏えいの7割は社内から

セキュリティの重要性が説かれるようになってずいぶん経ちますが、まだまだ十分に正しく認識されていないように思います。8月20日号(No.446)の本欄で、外部からの侵入者に対するセキュリティについて少しお話ししました。その際も企業側の認識の甘さを指摘したのですが、今回はもっと基本的なお話をしたいと思います。


米系、日系問わず、システム開発の案件などでセキュリティの話に触れると、ファイヤウォールなどを設定し、お金と時間を掛けて外部からの侵入に対するセキュリティに注力している、という話をよく聞きます。しかしそれはあくまでもセキュリティの一面に過ぎません。企業の情報漏えいの7割は社内からだという統計があるのをご存知でしょうか? 


外部からの侵入を警戒するのはもちろん必要ですが、内部に対しては更にいっそう警戒すべきなのです。内部にいてそのビジネスを知り尽くした人間だからこそ、顧客情報や仕入情報、機密情報を持ち出して活用できるのです。そうした情報を悪用しようという気持ちになるのも、人の性(さが)なのでしょう。


ノウハウビジネスであるが故に


我が社のSEO技術力の高さは業界内外でよく知られていますが、SEOのようなウェブマーケティングサービスは、紛れもなく「ノウハウビジネス」だといえます。もちろん、正しいノウハウを知るのに何年も掛かる上、何が正解かも常に変化しているわけですが、極論すると、ノウハウさえ知ってしまえば学生アルバイトでも簡単にできてしまうでしょう。ですから、そのノウハウを何とかして手に入れようとする輩(やから)も出てくるわけです。


したがって我が社では、そうした内から外へのセキュリティも厳しくしています。基本的なところでは、社員のPCを通じたEメール通信やウェブ閲覧などは全てトレースしています。米系企業なら業種問わず当たり前の措置ですが、日系ではまだ珍しいのかもしれません。


我が社ではまた、ノウハウの真髄は、ごく限られた一部の人間が管理するようにしています。私はよくこれを「門外不出の焼肉屋の秘伝のタレ」にたとえます。もしくは「コカコーラの製造法」の方がイメージしやすいかもしれません。本当に重要な情報は、社内であっても非公開なのです。合わせてタスクを細分化し、案件を終えるための必要最低限の情報しか共有しないようにもしています。ですのでノウハウが流出したことはありませんが、生産性が限られてしまいがちなのが難点といえます。


我が社にも居た不届き者


残念ながら過去に、ノウハウを持ち出そうと企てた社員もいました。といっても前述の通り、ノウハウの表面程度しか理解できない仕組みになっています。ですから実際に持ち出して何かできるというわけでもなく特に損失はなかったのですが、つくづく呆れたのが、ITのプロである我が社に対してこの社員が取ったお粗末な行動と無知さでした。


トレースをしているといっても、誰かが常時監視しているわけではありません。そんな時間もありませんし、仮にずっとそんなことをしなければならない社員であれば、そもそも雇っている必要がないと思うからです。しかし不穏な動きというのは、何となく伝わってくるものです。「何かおかしいな」と不審に感じた際に、確信を得るためにトレース記録をたどるわけです。そして動かぬ証拠を押さえます。


この社員は、送信したメールや作成したファイルをせっせと削除していました。外部へ情報を持ち出そうとした証拠を隠滅したかったのでしょう。しかも自分が削除したファイルをこちらが復元できるかを事前に探る念の入れようでした。一般的なファイルであれば、ある程度の復元は可能なのですが、このケースではその必要もありませんでした。なぜなら、メールが削除されると、その元メールがこちらが管理している場所に自動的にコピーされるプログラムを作って仕込んでおいたからです。それまではこんなプログラムが役に立つとは考えたくもなかったですし、あえてその存在も社員に知らせていませんでした。


しかし今では、入社時に全ての行動がトレースされていることをあえて話すようにして、愚かな行動をしないようにあらかじめ釘を刺しています。

0 件のコメント:

コメントを投稿