NIKKEI

トップ>企業マネジメント最新トレンド>企業の生命線!情報漏洩の防止に必要なこと

企業の生命線!情報漏洩の防止に必要なこと

情報セキュリティー・コンプライアンス・内部犯罪などのスペシャリスト

第3回最も恐ろしいけれど表面化しにくい内部犯罪の検知と防御

さて、前回はサイバー攻撃について多少ショッキングな内容をご紹介致しました。いたずらに怖がらせるだけではその辺の評論家と同じになってしまう。そこで今回はその防衛策、しかも内部不正やサイバー攻撃などの外部犯罪を含む総合的な対応策について触れ、次回に詳細をお伝えしたい。今回はその集大成の前に演題である「内部犯罪」について、解説したい。

初回に伝えた通り、内部と外部に分けるなら3:7や2:8程度に実は内部犯罪が多いという事実があるが、経営者の承認を得る対策費用はそのほとんどの企業や団体で真逆となっており、外部犯罪向けの予算が圧倒的に多い。

これは心情的に「当社に内部犯罪なんて極めて稀な事件である」と思い、なかなか認めたがらない経営者がいると同時に、その地方の有力紙の一面には華々しく「○○社、基幹システムや重要システムにサイバー攻撃を回避する△△システムを構築!来年度に稼働予定」とマスコミに知らしめたいという「見栄」もあるのではないかと思われる節がある。

しかも地方の有力企業ほど、そうした事件が起きると関係者にかん口令を敷いてしまい、(良くある話だが)被疑者の隣の社員さえも当該社員の欠勤理由を知らされていないケースもある。

また時折「○○社の経理課長、業務上横領で逮捕!○億円を着服か?」との見出しが新聞・雑誌の紙面を賑わすが、ほとんどこれ以上の深読みをしていない。でも情報セキュリティの専門家は顧問としてそれらにおける分析を徹底的に行うのが通例である。

その結果、「なぜ課長は犯行を行わなければならなかったのか」「お金がないという理由はどこにあるのか」「本質的にその職場や企業において改善すべきところがなかったのか」というレベル以上に深く現状の調査と分析をする。

100の内部犯罪があれば100以上もの「真の要因」が結果として表れる。

単純に「ギャンブルに狂いお金が欲しかった」という深読みする必要がないと思われるものでも、そこにまで至った要因を分析すると、意外にも多いのが職場単位の「いじめ」である。

「上司の○○部長がパワハラ、しかも相当に酷いレベルのもので本来なら警察に訴えるべき内容であった」ことが重なり、そのはけ口としてギャンブルへの逃避、ということも相当ある。こういう事実はなかなか報道されないし、そもそもそこまで調査しないのである。

従業員にとって100%仕事しやすい職場とは妄想であって、そういう職場は絶対に存在しないと思って差し支えない。1%の従業員にとって「そこにいるだけであぶら汗が出て、いじめ、パワハラを耐えることを強制させられる」という職場は既に健全な職場ではない。

自分がそういう目に遭っていないから「目をつぶる」というのは不作為の罪でしかない。怠け癖があり、平然と遅刻も繰り返し、会社に対する成果も数年レベルでみてもほとんどない、という社員に対しては、正々堂々と経営者が叱責し、行動の改善が認められないなら配置転換や心療内科への通院などを推奨する。相談の上、退職という選択肢がその人にとって次善の策になる事例も多い。

ところが大抵の場合は陰湿ないじめが横行しており、全員通達される情報がその人にだけメール送信されないという状況が発生しているということも多い。

職場からスケープゴートを出さない、これはコンプライアンス研修の場でも伝えているが、自分自身がスケープゴートになってしまうとか、職場のあなたの権限でそういう体制を持つということは絶対にしてはならない。これは会社崩壊の第一歩となる可能性がある上、個人の人格否定そのものだからである。

内部犯罪の多くは結局ここに行き着いてしまうケースが多い。とても残念である。こういうところに着目し、経営者は「内部通報者制度」を形だけ導入しようとするが、もっと闇を大きくすることにつながるので避けるべきだ。特効薬はなく、時間をかけて川の水が浄化するように根気よく対応していくしかない。

また内部犯罪自体を直接的に減少させるには待遇改善や見える化運動の推進以外にはツールでのカンフル剤がある。例えば「年に1回フォレンジックを用いて内部不正のための痕跡や準備作業のための予備行為を行っていないかをパソコン内の調査で確認する方法」もあるが費用は安くないので気軽にできるものではない。フォレンジックは犯罪行為をしてしまった個人の特定にはすばらしく効果が高いが全従業員に対しての調査としては疑心暗鬼になる場合もあるので注意が必要となる。

この内部犯罪は大きくわけると次の2つに分かれる。

  • 1:上司や同僚のID+パスワードを使う場合で「なりすまし」
  • 2:自分自身のID+パスワードを使うケースで狭義の「内部犯罪」

どちらも不正であることに変わりはないが、1の場合は全く知らない第三者を巻き添えにさせてしまうので、より罪は重い。なぜなら被疑者を特定し、事件の全容が判明すると、たいていは盗まれた従業員の責任にもなるケースが多く「脇が甘かったのではないか」「本当は共犯ではないか」「どうやって盗まれたのか?」など盗まれた本人も責任を追及され、良くても今期のボーナス半減、悪ければ降格処分となる企業もある。

くれぐれも、なれ合いの関係やお互いのパスワードを教え合う関係になってはいけない。自分の身は自分で守るのが情報セキュリティーの原則だからだ。

さて、次回の最終回では集大成として内部犯罪や外部犯罪を含めて情報漏洩の対応策(コストパフォーマンスの良い方法)などについて解説していく。

プロフィール

情報セキュリティ・コンプライアンス・内部犯罪などのスペシャリスト
萩原栄幸
[所属・役職]
日本セキュリティ・マネジメント学会常任理事
「先端技術・情報犯罪とセキュリティ研究会」主査
社団法人コンピュータソフトウェア著作権協会技術顧問
CFE 公認不正検査士
[略歴]
旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行システム部に在籍、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに、講演・執筆・コンサルティングと幅広く活躍するセキュリティの第一人者。
著書に「個人情報はこうして盗まれる」(KKベストセラーズ)や 「よくわかる!情報セキュリティの基本」(PHP研究所)など多数。

[バックナンバー]企業の生命線!情報漏洩の防止に必要なこと

企業マネジメント最新トレンド 一覧へ

日経産業新聞 ビジネス動画 動画で見る、話題の新製品・先端技術 詳しくはこちら

日本大学 通信教育部

月間アクセスランキング

  1. 企業マネジメント最新トレンド
    ISO9001及びISO14001の具体的な改正内容とその対応のスケジュール
  2. 企業マネジメント最新トレンド
    グローバルに対応しうる事業戦略とは
  3. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正において、企業が取組むべきこと
  4. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正における具体的な取組み方法
  5. 企業マネジメント最新トレンド
    企業価値とは何か。経営にどう影響するのか

日経産業新聞ピックアップ

2017年6月27日付
  • 金融取引の説明不足を判定、フロンテオ AIを活用、通話記録を分析
  • クラリオン、ロシアでつながる車開拓 通信ユニット、現地で生産
  • コマツ 土砂運搬てきぱき ダンプ運転手のスマホに指示
  • 三菱製紙、カーボンナノチューブ収益減に育成 子会社でヒーター2種開発
  • アマダHD、仏拠点の生産能力3倍 レーザー加工機

経営喝!力 ビジネスIT活用index