企業の拡大に対応できる内部犯行防止策はこう作る

文:Deb Shinder 翻訳校正:吉井美有 2006年10月31日 08時00分

  • このエントリーをはてなブックマークに追加

 内部からのセキュリティ侵害を防止する方法のうち小規模な企業環境において有効なものは、企業規模が大きくなるとその有効性が減少するのが一般的である。企業の成長に合わせて侵害防止戦略を拡張していく方法を以下に紹介したい。

 多くの企業は、セキュリティ戦略において自社のネットワークが外部から侵入されないことを企図している。しかし、実際には内部から重大なセキュリティ侵害が発生することも多い。こういった侵害は、意図的な場合もあればそうでない場合もあるが、いずれの場合も企業のネットワークやデータを危険にさらし、生産性の低下および/または直接的な金銭的損失につながるおそれがある。

 企業規模の拡大にしたがって変化するニーズに対応できるセキュリティ戦略を持っておくことが重要となる。このことは内部からの侵害に目を向けると特に意味を持つ。小規模な企業環境においては有効な打ち手であったことの効果が、企業の成長につれて薄れていくからだ。内部からのセキュリティ侵害を防止するための、拡張性のある戦略の作り方について以下に述べたい。

進化する脅威

 小規模で従業員も数名程度の企業では、規模の大きな企業に比べると内部からのセキュリティ侵害が発生しにくく、その発見も容易であるということが言える場合もあればその逆の場合もある。小規模な企業環境ではマネージャーと従業員がより緊密な関係を保って働くため、内部からの侵害を試みることのできる機会は少ない。また、仕事が専門化されていない場合も多いため、従業員は、プロジェクトの「一部」のみを担当したり、細かく規定された一連のタスクを行うのではなく、互いに協力して働いたり、コンピュータを共有したりする。このことによっても侵害の機会が抑制され、その発見が容易になるわけである。

 一方、小規模企業の従業員はより自律性を与えられ、マネージャーも彼らをより信頼していることが多い。こういった場合、会社のデータや帯域幅を盗用したり、個人的なウェブ閲覧や電子メール、チャットのためにネットワークを利用したりしようとする従業員は絶好の機会を得ることになる。そして、従業員によるこういった行動はすべてネットワークを危険にさらしかねないのである。また、小規模な企業は、技術的なセキュリティ対策を実施するために専門のIT部門やセキュリティ担当者を置いていないことが多く、従業員のネットワーク利用に関するポリシーを詳細に規定していないことも多い。

 逆に、大規模な企業の従業員は小規模な企業に比べると匿名性を保ちやすいため、セキュリティ侵害が容易である一方、防御策(コンピュータのロックのより厳重な運用や、よりセキュアに設定されたファイアウォールなど)に阻まれることも多くなる。

内的脅威のアセスメント

 内部からの脅威はいくつかのカテゴリに分類することができる。例えば:

  • 産業スパイ:競合企業に雇われた従業員がデータを盗む可能性がある
  • 悪意のある/不満を抱えた従業員:解雇されて日の浅い従業員が会社に対して不満を抱き、ネットワークにダメージを与えたいと思っている可能性がある
  • 意図的ではない侵害:従業員が、許可を得ずにソフトウェアをインストールしたり、ウイルスに感染した電子メールの添付ファイルをオープンしたり、ソーシャルエンジニアリング攻撃にひっかかったりすることが考えられる

 また、ネットワークに物理的にアクセスできる非従業員も、内部からの脅威の一形態として捉えることができる。この例として、契約業者や「臨時」従業員、ベンダーの他に、清掃および雑務作業員など、オフィス内で働いているが実際にはあなたの会社に雇用されていない人々も挙げることができる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
運用管理

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算