NIKKEI

トップ>企業マネジメント最新トレンド>企業の生命線!情報漏洩の防止に必要なこと

企業の生命線!情報漏洩の防止に必要なこと

情報セキュリティー・コンプライアンス・内部犯罪などのスペシャリスト

第5回あなたはこの事実を受け止められますか?
~「信用」とは何か ~

さて今回は最終回ですので日米の実際の数字や実例をご紹介し、皆様の今後の企業における情報漏洩について、少しでもヒントをお届けできればと思います。

1:あるラーメン店の横領

数年前に創業者Aがもう一人の創業者Bを訴える自体になった。状況を分析すると、どうやらBはAが秘密にしていたラーメンスープの作成法を漏洩させ、会社の金を2億円ほど横領していたのであった。私はAにこう尋ねた。

「なぜ、相互牽制ではないけど、あなたはBを監査しなかったのですか?」

するとAは、

「たった二人で起ち上げたお店です。確かに、経理とスープ作りは私が担当していましたが、営業ではあっというまに20店舗を展開させ、社員教育にも定評のある彼を監視するというのは、信用していない証拠と思われ兼ねないという事もあり実施しませんでした。」

そこで私は、

「そういう考えは多分日本人だけです。`信用しているから監査しない' は論理的におかしいと思いませんか? 今まで信用してきたし実績も良い。だからその信用を継続させたいので私はあなたを、そしてあなたは私を第三者の目線で監査する。それで良ければまた、継続して信用できるから」。 そう考えるのが論理的ですよね。あなたの考えは感情としては1%理解できるけど100%間違っています。

2:情報漏洩などの内部不正に関する危険信号

米国公認不正検査士協会(ACFE)第19回年次総会分科会からとても興味のある調査報告書が公開された。(CFE会員のみ)

それは過去20年の内部犯罪の実行犯を分析した結果、統計学的に極めて相関の高い事象と繋がったのである。つまり犯行者は次の要素を持っていた。

  • 1 勤続年数が長い
  • 2 次の理由により雇用主からは重宝されている
    • 出勤時間が早い
    • 夜遅くまで残業する
    • 休日出勤もいとわない
    • 仕事を家に持ち帰る
    • 病欠以外は仕事を休まない
    • 休暇を取ろうとしない
    • IQが高い
  • 3 (しかし)同僚からは尊敬されていない
  • 4 地域や教会の活動に積極的に関与している
  • 5 単独で業務をこなしている
  • 6 家族は何も知らない
  • 7 横領した金は貯めずに費消する
  • 8 裕福な生活を送っている。その理由を遺産相続、借り入れ、配偶者の収入のためと説明する
  • 9 定期的な調査に抵抗感を示す
  • 10 自分の職場に人を近づけたがらない
  • 11 事業主に業務記録を見せたがらない
  • 12 次から次へと仕事(責任)を引き受けようとする
  • 13 犯人が予定外に職場にいない間に発覚しやすい
  • 14 少額の着服から始まり、徐々に大胆になりながら一定期間継続する

さて如何だろうか? 日本ではいわゆる「職人気質」に近い行動パターンであるが、決定的に違いがある。

それはその行動が「私利私欲から発生しているか否か」ではないだろうか?

3:情報漏洩などの内部犯罪の究極防止システムについて

前回で「振る舞い検知」の紹介を行ったが、説明不足ではないかとのご指摘があったので、ここに解説をする。

1つ1つの行為は「許可」されており、端末から顧客照会をするなどの行為であるが、ここに例えば顧客マスターの情報をコピーしようとするならどういう作業行為を行うのか統計学的推論で判明しているとする。そうなれば、1つ1つの作業を個別に監視するのではなく、ある関連グループとしてそれらの行為をひも付けして監視する。

例えば、ある企業では「X課長が顧客マスターを1カ月以内にコピーする可能性が統計学的推論で95.7%以上ある」というように判明する。

すると人事部は、翌日に本部への出頭命令を出し、そこで質問を行う。様々な角度から質問した後で「君の行為は全て掌握している。もしこの場でどうしてそうしたのか理由を話せば会社として全力でサポートする。当然君はまだ犯罪を行っていないので、ペナルティーはあるが懲戒解雇にはしない。さて、今正直に話すか、それとも数日後に逮捕されるかどちらがいい?」

すると経験では、100%自白する。

これが振る舞い検知システムで個人の人格毎に全ての作業を分類し、正常値範囲かをチェックすることで、外れた人間は更に個別に監視されどういう異常かを分析するのである。

最近では金融業を中心にパッケージ化され販売も行っている。

4:「人は城、人は石垣、人は堀、情けは味方、あだは敵」の現代版で企業を守る

これは武田信玄の言葉(一説による)として有名だ。この解釈は簡単に情報セキュリティー的にいえば、どんな高価なシステムも機器もそれを使い、運用するのは「人」である。

実は人が最も脆弱なポイントであるが、最も強固なポイントにもなり得るので、「わが社」にとっては松下幸之助の言「企業は人なり」と同様に、最も重視すべきことは人の作業環境が生産性に関連し、人の成長が企業の成長であるという意識を持ち、目に見える投資(機材や設備)にお金をかけるのではなく、「人」が財産であり「人」の教育に最もお金をかけるべきである、ということなのである。

ともすれば、「情報セキュリティー社内セミナー」「コンプライアンス啓蒙教育」は形だけで内容は何年も同じで、管理者(例えばコンプライアンス統括部の課長)が嫌々実施しているという企業はないだろうか?

そういう企業ほど話題性のあるハードやシステムを購入し、それだけでセキュリティーが向上すると思っている。情報漏洩の裏技は多々あるがそのほとんどは社内で簡単に防御が可能である。ただし、従業員が正しく教育され人を大事にするというカルチャーがあるという前提がある。この部分は最も経営者が注視しなければならないところであると経験が教えている。

プロフィール

情報セキュリティ・コンプライアンス・内部犯罪などのスペシャリスト
萩原栄幸
[所属・役職]
日本セキュリティ・マネジメント学会常任理事
「先端技術・情報犯罪とセキュリティ研究会」主査
社団法人コンピュータソフトウェア著作権協会技術顧問
CFE 公認不正検査士
[略歴]
旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行システム部に在籍、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに、講演・執筆・コンサルティングと幅広く活躍するセキュリティの第一人者。
著書に「個人情報はこうして盗まれる」(KKベストセラーズ)や 「よくわかる!情報セキュリティの基本」(PHP研究所)など多数。

[バックナンバー]企業の生命線!情報漏洩の防止に必要なこと

企業マネジメント最新トレンド 一覧へ

日経産業新聞 ビジネス動画 動画で見る、話題の新製品・先端技術 詳しくはこちら

日本大学 通信教育部

月間アクセスランキング

  1. 企業マネジメント最新トレンド
    グローバルに対応しうる事業戦略とは
  2. 企業マネジメント最新トレンド
    ISO9001及びISO14001の具体的な改正内容とその対応のスケジュール
  3. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正を契機としたISOの活用方法
  4. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正における具体的な取組み方法
  5. 企業マネジメント最新トレンド
    企業価値とは何か。経営にどう影響するのか

日経産業新聞ピックアップ

2017年8月21日付
  • NCD、ネット広告枠、サイトで売買、好みのメディア選べる
  • 在庫管理、無人で安く PALが倉庫にロボ
  • バイオマス発電所新設 エフオン、20年メド2カ所
  • ダイセル・エボニック 自動車の軽量部品製造 コスト6割減
  • ペットのトイレ、12時間消臭 室内犬用 ユニ・チャーム

経営喝!力 ビジネスIT活用index