--どうにもならない問題でといっても、誰かが制御しなければならない。それは別の組織や経営者なのでしょうか。
乙部氏 私は、ヒューマンエラーと悪意のある権限者の社内犯行があるケース、いずれも共通しているのは、ITシステムとして対応することが非常に難しい点であると思います。ではどう対応するかというと、運用側でカバーできる部分は多いのではないかと思います。例えばヒューマンエラー、メールを違う人に送ってしまった。これはわかりやすいですが、通常やるべきでない操作をしたときに止めるというのは、ITシステムでも当然できるものがあります。
パロアルトネットワークス エバンジェリスト兼テクニカルディレクター 乙部 幸一朗氏同社日本法人設立から参画。ネットワークエンジニアとしての経験を活かし次世代ファイアウォールの国内第一人者として活躍
でも、システムができることというのは、運用的にヒューマンエラーを人に気づかせる部分です。具体的には、メールの送信操作は完了しても、外に配信される前に確認画面を出す。送金も同じです。システムで送金操作をした後に再度メールで確認が来れば、そういった間違いの送金を防ぐことができるので、運用部分でカバーできます。
それをITが支えるような形でも動きをするというのが、ITとヒューマンエラー部分での関わりです。もうひとつ悪意のある権限者の場合というのは、ベネッセの事件でも捕まった犯人が言っていましたが、「バレないと思った」。これが一番のポイントです。当然、悪意を持った人がいるという前提に立って、何ができるかというと、システム上でできることは限られてはいるのですが、それをいかに周知、徹底するかということです。
実際に悪意を持った人がバレると思ってしまうような仕組みをいかに作り、その周知を徹底していくかが大切になると思います。システム上でインプリメントするだけではなく、システムインテグレーター(SI)がやっているということを気づかせる。これは教育の部分であったり、システム上でその人にわかりやすくアラートを出すといったところもポイントになってくると思います。
いずれもシステム上ですべてできるかというと大変難しくて、運用部分でいかにシステムを組み合わせていくかというのがポイントになるのではないかと考えています。