内部者による情報流出への対策
こんにちは、丸山満彦です。個人情報だけの問題ではないのですが、内部者による情報流出対策をどのようにしたらよいのか・・・という相談が多いです。内部者、つまり情報に対してアクセス権を持っている人に対する問題ですね・・・。
間違ってはいけないのですが、内部者による情報漏えい対策を情報セキュリティの専門家にだけ相談してもだめですよ。そんな人の意見だけを参考にしたらかえって経営を悪くします。
普通の経営者ならそんな情報セキュリティ専門家の話を聞けば、そんな方法ではダメだ・・・とわかるはずですが、時として自信を失っている経営者がそのような人の意見を聞いてかえって経営を悪くしてしまいがちなので、ブログに書くことにします。
(まぁ、最近そんな人に仕事の邪魔をされている・・・ってのもあるんですけどね・・・)
内部者による情報漏えい対策は経営問題そのもので、あえて言えば人事の問題だと思って下さい。
まず、セキュリティ対策を考える場合、基本的な構造として次のことを理解しておく必要があります。
[人]==[取り扱う]==>[情報]
英語の構文のようですね。
(1)=主体(Subject)=人
(2)=客体(Object)=情報
人が情報を取り扱うわけですから、情報セキュリティ対策も
A:人に働きかける対策と、
B:情報に働きかける対策
があります。
自称情報セキュリティ専門家は普通、「B:情報に働きかける対策」の専門家です。アクセス権の設定はどのようにすれば実現できるのかとか、情報に対するアクセス権をどのようにするのか?とか、情報にアクセスしたログをどのようにして採るのかとか・・・
でも、内部者による情報漏えい対策は、そもそも情報に対するアクセス権を与えないと仕事にならない人に対する対策ですよね。つまり、「A:人に働きかける対策」なわけです。
なので、人事問題、もっと言えば経営問題そのものなんですね。つまり、人に対する対策そのものが重要なわけです。
もちろん、「アクセスログを採って検査することにより、抑止効果が働く」という情報セキュリティ専門家もいるでしょうが、このような抑止効果はあくまでもほんの一つの手段です。解決すべき根本的な問題は人に対する対策なわけですから、一つの手段だけ取り上げて騒いでもしかたがないです。
問題が人にある以上、アクセスログを採ればよいというアプローチではなく、会社に不利益な行動をしないような人を育成するにはどのようにすればよいのか・・・というアプローチでなくてはなりません。
ということは、会社に対するロイヤリティを高めるためにはどのように従業員に働きかければよいのかとか、経営者の方針が従業員にどの程度正しく伝わっているのかとか・・・そういう問題になってくるわけです。
でも、もっともっと根本的なところに問題がある場合もあります。
つまり、経営者の姿勢です。経営者が誠実ではなく、従業員はもっぱら経営のための道具に過ぎない、いつでも取替え可能な部品のようなものだ・・・と思っていたら・・・、そういうところに問題があるのであればそれは経営問題、ガバナンス問題といえるでしょう。
内部者による情報漏えい対策を情報セキュリティコンサルタントに聞いた時に、アクセスログの話ばかりをしていたら、その人にそれ以上聞いても解決策は見つからないと思いましょう。
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
基本的なスタンスは、同意するんですけど、私としては、アクセスログなどについては、若干、肯定的です。
このごろは、ドライブレコーダーの例を出して、ポリシ遵守の意識を高め、インシデントに際して、説明責任を果たすために必要なものとして、説明しています。
わかりやすくいうと、「劇薬」なので、処方に注意しましょ、というところですね。
難しくいうと、性善説を前提として導入がなされなければならず、上記目的をはたすものとしては一定の効果があるので、ポリシ等の完備を条件に導入を薦めるというスタンスはいかがでしょうか。
Posted by: ミスターIT | 2005.11.20 00:58
ミスターITさん、コメントありがとうございます。私もアクセスログについては肯定的です。経済産業省の個人情報保護法のガイドラインでもアクセスログについては書いています。必要です。
でも、考え方の出発点が違うという話ですかね・・・。
不正なことをする人がいるというのは、そもそも別の何かが問題なわけですね。不正を抑止するためにアクセスログの採取と検査は有効ですが、それは対処療法ということですかね・・・。もっと、根本的な問題があるはずでしょう・・・ということだと思っています。
Posted by: 丸山満彦 | 2005.11.20 10:21