ベネッセ情報漏えい

ベネッセの情報漏えいから学ぶ情報管理 - (page 5)

河野省二(ディアイティ) 2014年07月25日 07時30分

  • このエントリーをはてなブックマークに追加
  • 印刷

人的セキュリティとセキュリティリテラシーの向上

 セキュリティリテラシーを向上するため、多くの企業では「意識向上トレーニング」を定期的に実施しています。意識向上トレーニングはもともとは「Awareness Training」という単語が訳されたもので、気づきを与えるためのトレーニングのことを指しています。これは、“セキュリティは大事ですよ”という意識ではなく、セキュリティ事故が“起きるかもしれない、起こっているのかもしれない”ということに気付くためのトレーニングです。

 しかし、情報システムについて詳しくない人たちがそのことに気が付くのは難しいといえます。いまだに「不審なメールは開封しない」ということを信じて実行しようとしている人たちがいますが、(不審かどうかの判断を正しく規定することは難しく)これはどんなにトレーニングを積んでも100%になりません。

 であれば、システムやサービスでできる限りユーザーの補助をしていく必要があるのです。

 「社長のふりをしてメールを送られてきた」ということについても、社長は本来ならば社内のSMTPサーバからメールを送ってくるはずですから、そうでない場合にはメールタイトルのところに【社外SMTP経由】などと追加されていれば気がつきやすいのではないでしょうか。もしもこのマークがついてないのに不審なメールが来ているとすれば、社長のアカウントが乗っ取られているか、SMTPサーバが踏み台になっているかのどちらかですから、また別の事故に気が付くことができるようになります。

 このように、気付きの仕組みを提供していくことが重要です。人間の判断を助けるために情報を提供するのがITですから、それを最大限に利用するということが重要です。

 ベネッセコーポレーションの今回の事件では、誰かがデータベースからデータをダウンロードしたら、技術者グループのメーリングリストやSMSにその動作が実行されたことを通知するような仕組みがあればよかったのかもしれません。いつも行動が監視されているということは抑止効果として最も良い方策です。

犯罪のきっかけを与えない職場環境づくり

 ISMSやプライバシーマークの認定を受けている企業の多くが取り組んでいるクリアスクリーン、クリアデスクトップという対策があります。これは個人の整理整頓や情報の盗難防止だけが目的ではありません。

 例えば、管理職の机の上に重要な情報が置きっぱなしになっていて、それをたまたま部下が見てしまった場合、犯罪のきっかけを与えてしまうことになります。実際に、社内犯罪の起きやすい時間帯は残業中や休日出勤であるということが、われわれが依頼を受けた調査の傾向で分かっています。人目の少ないところでは犯罪発生率が上がるのですし、そのきっかけを与えているのが、ずさんな書類管理やファイル管理にあります。

 離席時には机の上に物を置かない、画面を消す(スクリーンセーバーではなく、自ら消す)ことが社内犯罪の防止につながります。

 防止と抑止の両方の対策があってこそ、社内犯罪を起こさせない環境づくりができるのです。

まとめ

 今回の事件は、児童や生徒というカテゴリのデータに価値があったというとことに起因しています。個人情報保護法が施行されて以降、適正な入手が難しくなったことが逆に個人データの価値を高めています。入手のためにプレゼント企画やイベントを開催するよりも、購入した方が安いと判断されているのがのが原因です。

 個人情報についてはすでに多くの情報が出まわっており、年配の人たちの情報を得ることはそれほど難しいわけではありません。しかし、個人情報保護法以降のこの10年くらいの情報は入手しにくく、それが価値を持ってしまったというのも今回の事件が起きてしまった原因なのでしょう。

 企業の情報管理において、それが流通することでどのような価値を持つのかということを考えることが重要です。これは、情報の重要度ではありません。その情報が他人に渡った時の影響を考えるということです。情報の重要度でリスクを分析するのではなく、その情報がどのように活用される可能性があるのか、その影響について検討し、適切な対策を講じるようにして下さい。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
“真FinTech” 地域金融の行方
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
スペシャル
デジタル時代を支える顧客接点改革
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
エンタープライズトレンドの読み方
10の事情
座談会@ZDNet
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]