|
大手プロパイダからの情報漏洩問題が世間を騒がしている。その数も数百万件という。おそらくこの事件を受けて、経営ボードから「わが社は大丈夫か?もし漏洩の可能性があるのなら、その対策を立てなさい。直ちに立てなさい。今すぐ立てなさい!」と矢のような催促を受け、「さあ、困った」とお嘆きの担当者も多いのではないだろうか。
そもそも情報漏洩に対しては「外部」からの攻撃には一応対処いている企業は多いと思う。おなじみの「ファイアーウォール」とか、「プロキシサーバー」などはインターネットの普及の時期から注目されていた技術で、今では個人が自宅で利用するような安価のルーターまでその機能はついているのが当たり前となっている。
しかし今回世間を騒がしている問題のほとんどが「内部」からの漏洩であるといわれている。なにも泥棒が留守中に自宅に侵入し、現金や貴金属を持ち出したのではなく、例えばお母さんがうっかり鏡の前に置いておいた高価なネックレスを、その娘が面白半分に学校に身に着けて行ったら、先生に叱られてしまった。ようなものである。(例えが悪いかな〜。)
とにかく「まさか自分の娘に限って」とはよく言ったものだが、被害にあった企業の担当者は「まさかあのエンジニアに限って」と、まさにそんな気持ちであろう。
先生から連絡をもらったお父さんは
「だめじゃないか、そんなところに置いておいたら」
とお母さんを叱る。そこでお母さんは
「今までも何度も置いてあったんですが・・・。これからは気をつけます。」
と少しうなだれる。お父さんは
「これから気をつけなさい。娘も年頃なんだから。」
というパターンで終わるのが普通であろう。
(いや、うちは逆だ、とか色々ご意見はあるのでしょうが、サザエさんの一家で起きたこととでも仮定してください。)
しかしいま企業の担当者のおかれた立場を代弁すると、こうなるのではなかろうか。
「駄目じゃないか、そんなところに置いておいたら」
と担当者を社長は叱る。そこで担当者は
「今まで何度も置いてあったんですが・・・。これからは気をつけます。」
と、ここまではいっしょだ。しかし
「すぐに対策を立てて来週の役員会で皆が納得するような報告をしなさい。いいね。」
言外には「技術的な専門用語で攻め立てても、みんな納得しないからね。」とか
「わが社は経営的に厳しい時期だ。したがって簡単には設備投資は出来ないよ。」
とか、まるで禅問答のような高度な会話が繰り広げられているはずだ。
そこで担当者の方はあわてて知り合いのベンダーに声をかけてみたり、インターネットで調べてみたりすることになる。そこで出てくる答えは「生体認証」とか「フォレンジック(デットワーク上に流れるデータ全てを監視するシステム)」とか、いつもの様にIT用語辞典のオンパレード。コストはというと安くても1台数十万円から高くなると数千万円という価格に、驚く。
決まって「もし御社のデータが漏洩した場合の被害総額から換算すると、これほど安い者は無いです。」というセールストークに担当者は既に打つ手がなくなるのである。さっさといつもの飲み屋に行ってレモンチュウハイを頼むしかなくなるのである。
今脚光を浴びている情報漏洩の対策ツールを批判しようとしているのではない。そのようなツールも必要なものであると思うが、所詮ツールはツールであり、それ以上のものではない。どんなにツールに投資しても、それを破るツールはいくらでも出てくるものであり(これはウィルスとワクチンとの戦いにも似ていますよね)いたちごっこはいつまでも続くのである。Aというツールが無効になればバージョンアップ版Aダッシュというツール。それが駄目ならAツーダッシュ。(これはウィルスワクチンソフトの世界ですよね。)
仮にデータを「管理する側」とそれを「利用する側」と分けたとしよう。そもそも「内部漏洩」ということが起きるのは、1.「管理する側」の管理が甘い 2.「利用する側」の認識が甘い の2点に尽きるのである。特に1についてはこちらの側なので対応策は色々と有るだろうし、その効果も出やすいだろう。たとえば管理体制のルールの見直しやオペレーションの策定等で対応できることである。
では2.の「利用する側」。これをどうするか。
まず「教育」の徹底。たとえ利用する側に悪意は無くとも漏洩してしまった場合の被害をきちんと伝える。そうして本人の自覚を芽生えさせる。そんな教育を新入社員のころから行えばよいのだ。昔からある職業には親方が新人に必ず教えることがたくさんあるという。税理士の世界ではかばんを電車の棚に載せる必ず叱られるそうである。例えばそのような教育体系を作り上げればよいのである。
ただしシステムとなるとどうしても外部の力を頼らざるを得ない。あるIT系で協力会社を多く利用する社長から聞いた話をしよう。
秘密保持契約書等の締結はもちろんだが、その外部の社長に「もし情報漏洩を貴社の社員がしたらどうします?」と聞き、その答え方によってお願いするかどうか判断しているという。色々な答えがあるそうだが「決して漏らさない。漏らさせないという」哲学があるかどうか。そうして「最後には社長である私が全責任を取る」という回答があれば合格だそうだ。
| 