編集部からのお知らせ
新着・電子インボイスの記事まとめ
記事まとめDL:オンライン確認「eKYC」
座談会@ZDNet

「われわれはあなたの活動を監視しています」--悪意の権限者への対応:セキュリティベンダー座談会(4) - (page 3)

怒賀新也 (編集部) 山田竜司 (編集部) 吉澤亨史

2015-11-27 07:30

--どうにもならない問題でといっても、誰かが制御しなければならない。それは別の組織や経営者なのでしょうか。

乙部氏 私は、ヒューマンエラーと悪意のある権限者の社内犯行があるケース、いずれも共通しているのは、ITシステムとして対応することが非常に難しい点であると思います。ではどう対応するかというと、運用側でカバーできる部分は多いのではないかと思います。例えばヒューマンエラー、メールを違う人に送ってしまった。これはわかりやすいですが、通常やるべきでない操作をしたときに止めるというのは、ITシステムでも当然できるものがあります。


パロアルトネットワークス エバンジェリスト兼テクニカルディレクター 乙部 幸一朗氏
同社日本法人設立から参画。ネットワークエンジニアとしての経験を活かし次世代ファイアウォールの国内第一人者として活躍

 でも、システムができることというのは、運用的にヒューマンエラーを人に気づかせる部分です。具体的には、メールの送信操作は完了しても、外に配信される前に確認画面を出す。送金も同じです。システムで送金操作をした後に再度メールで確認が来れば、そういった間違いの送金を防ぐことができるので、運用部分でカバーできます。

 それをITが支えるような形でも動きをするというのが、ITとヒューマンエラー部分での関わりです。もうひとつ悪意のある権限者の場合というのは、ベネッセの事件でも捕まった犯人が言っていましたが、「バレないと思った」。これが一番のポイントです。当然、悪意を持った人がいるという前提に立って、何ができるかというと、システム上でできることは限られてはいるのですが、それをいかに周知、徹底するかということです。

 実際に悪意を持った人がバレると思ってしまうような仕組みをいかに作り、その周知を徹底していくかが大切になると思います。システム上でインプリメントするだけではなく、システムインテグレーター(SI)がやっているということを気づかせる。これは教育の部分であったり、システム上でその人にわかりやすくアラートを出すといったところもポイントになってくると思います。

 いずれもシステム上ですべてできるかというと大変難しくて、運用部分でいかにシステムを組み合わせていくかというのがポイントになるのではないかと考えています。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]