NIKKEI

トップ>企業マネジメント最新トレンド>企業の生命線!情報漏洩の防止に必要なこと

企業の生命線!情報漏洩の防止に必要なこと

情報セキュリティー・コンプライアンス・内部犯罪などのスペシャリスト

第1回情報漏洩を分類すると判明した意外な事実
~15年以上も前から訴えてきた、統計数字に出ないこと~

私は情報セキュリティーを主体に金融機関を含む企業に対してコンサルタントを実施しております。今回は「情報漏洩」をキーワードにどう考えればその有効な対策が打てるのかについて今までの経験や学会での活動を基に解説していきます。

まず第1回目として「情報漏洩」全般における注意事項、2回目は外部からの攻撃における「情報漏洩」について、3回目が内部犯罪における「情報漏洩」ついてそれぞれ解説を行い、最終回の4回目では総括して企業が内部からも外部からもバランス良く防御するための対策について解説していく予定です。

まず20年以上前に実際に起こった出来事をお伝えします。

実はその頃、私は三菱東京UFJ銀行に勤務し、銀行の指示により内部犯罪に関する調査とその分析を行っていました。当然ながら比較するため、外部からの攻撃による情報漏洩の事例や防止策についての調査も行っていました。当初、直感で情報漏えいは圧倒的に外部から侵入や不正行為によるものが多いに違いないと思っていたのですが、調査を進めていくうちにどうも違うのではと思うようになったのです。

当時はIBMと共同で会社を設立し、全国に第三次オンラインシステムをはじめとして銀行で作成したいくつかのシステムを販売していましたが、私は預為システム以外の債券先物システムや先物オプションシステムのプロジェクトリーダーだったことから、銀行側代表の1人としてシステムの説明を全国で行うようになったのです。その際、様々の銀行の関係者と知り合って情報交換するうち、ほとんど外部には出ない内部犯罪行為による情報漏洩についても相当正確に認識できるようになったのです。

その後、学会の先端技術研を通じて相談を受けることになった案件などをもとに他の業種・業態もサンプルとして知ることとなりました。

結果は驚くべきものでした。当時は正確な資料もなく、数少ない統計資料や先入観から「従業員の内部犯罪は例外中の例外であり、まずあり得ない。よって数字は1:9以上のレベルで内部犯罪の方が少ない」と考えていたので、業種・業態を問わず表れた、その逆を示す数字を見てショックを覚えました。

その内容について「先端技術・情報犯罪とセキュリティ研究会」で発表できるチャンスを頂くことができたのですが、発表後にある教授からこう指摘されました。

「萩原くん、ここは学会なので数字を発表するにはそれなりの根拠が必要だ。公的資料では100%外部犯罪に比べ内部犯罪の方が少ないというのが事実だ。神様でもなければこの事実を否定することはできないよ!」

そこで私は「発表の数字がすべて正しいというのが前提のご発言だと思いますが、その統計数字そのものが誤っています。世界はともかく日本人の感性では「従業員は悪さをしない」だから万一の場合でもそっとゴミ(悪い情報)はジュウタンの下に隠してしまうのです。しかも内部で犯人探しをしても被疑者の隣で働いている人はその事実を知らないでいるケースが圧倒的に多いのです。警察に届けるケースは極めて稀であるという事実をご存じですか?そういう数字は無い方がましです」と答えました。

これらは全て自分の経験からのものであり、それ自体が「事実」の断片にほかならないから主張したのです。

さてそれから20年を経過した今ではどうか・・・残念ながら世の中そんなに変化は起きていません。

昨年、とある製造業で私が内部調査を行うと発表したら経理担当役員が午後から失踪してしまった例があります。そこでPCのフォレンジック調査をしたらまっ黒な証拠がてんこ盛りの状態で発見されたのです。しかしその企業の社長は結局警察に届けることはしませんでした。規模からみると横領金額が1億円を超えていたのにも関わらず。その理由を問い詰めると「実は被疑者とは親戚関係であり子供たち同士はとても仲がいい。そういう状況で訴えることは出来ないよ」。しかし「それではこの社是にある「見える化」に反します。私は外部のコンサルタントとして切に要望します」と主張しました。そこまで話しても「絶対に無理」・・・・・・。

そう、これが現実なのです。これ以上突っ込むと明らかに顧問契約を解消され兼ねませんのでここまでが限界でした。

東京や大阪を除く地方の現状は実はまだこういう感じなのです。それでも少しずつ国際化の波が押し寄せておりますので昔よりはましというのが現実だと思います。

そして15年程前の私の情報セキュリティー管理者養成コースのテキストでは「圧倒的に内部犯罪が多い。多分8:2か7:3ではないだろうか?」・・・これもやっと昨年、米国から同じ様な数字が飛び込んできましたので、今後は論文でこの部分の引用を行うなら米国の調査結果の数字を引用すべきだと思うようになったのです。

そこから発展することは、社内の情報漏洩対策の費用がこの数字と近似しているか?です。ともすれば経営者は地元新聞の1面を飾るのが嬉しいので○○情報漏洩防止ツールを購入し、「これでサイバー攻撃などの外部からの攻撃には対処できるようになります」と話し、外部向け対策を重視しがちです。対策費の内訳が内部1に対して華やかな外部への対応に9という企業もかなり多いと思われます。これは明らかにバランスの欠いた配分であるといえるのですが、気が付かない企業が多いので、ぜひ一度ここから検討されてはいかがでしょうか?

プロフィール

情報セキュリティ・コンプライアンス・内部犯罪などのスペシャリスト
萩原栄幸
[所属・役職]
日本セキュリティ・マネジメント学会常任理事
「先端技術・情報犯罪とセキュリティ研究会」主査
社団法人コンピュータソフトウェア著作権協会技術顧問
CFE 公認不正検査士
[略歴]
旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行システム部に在籍、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに、講演・執筆・コンサルティングと幅広く活躍するセキュリティの第一人者。
著書に「個人情報はこうして盗まれる」(KKベストセラーズ)や 「よくわかる!情報セキュリティの基本」(PHP研究所)など多数。

[バックナンバー]企業の生命線!情報漏洩の防止に必要なこと

企業マネジメント最新トレンド 一覧へ

日経産業新聞 ビジネス動画 動画で見る、話題の新製品・先端技術 詳しくはこちら

日本大学 通信教育部

月間アクセスランキング

  1. 企業マネジメント最新トレンド
    グローバルに対応しうる事業戦略とは
  2. 企業マネジメント最新トレンド
    ISO9001及びISO14001の具体的な改正内容とその対応のスケジュール
  3. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正を契機としたISOの活用方法
  4. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正における具体的な取組み方法
  5. 企業マネジメント最新トレンド
    企業価値とは何か。経営にどう影響するのか

日経産業新聞ピックアップ

2017年8月23日付
  • 富士フイルム、橋やトンネルのひび割れ、画像で自動診断
  • JTがアトピー薬19年発売 たばこ一本足の脱却へ前進
  • 水ing、自治体向けに省エネし尿処理設備 CO2を2割削減
  • ゲスタンプ、熱間プレス、加工速度2.5倍 来年から量産へ
  • 東急リバブル、リノベ物件の資材一括調達 施工業者の負担軽減

経営喝!力 ビジネスIT活用index