三菱UFJ証券の情報漏洩防止策の7つの提言で気になった3つ
大きな影響力が多方面に波及しました。1.内部発生 2.権限を持った者の犯行 3.損害の大きさ・・・があったと思います。
三菱UFJ証券は事件が発覚した以降、「お客さま情報流出対策本部」を設置。社外の有識者や専門家による調査委員会に外部の専門調査機関を交えて、事実調査や原因究明を進めているという。調査委員会が報告書をまとめており、これに基づく再発防止策の提言を受けて入れたとしている。
調査委員会が同社に提言した内容は以下の7つ。
- リスク管理施策における経営陣の基本姿勢についての提言
- 情報セキュリティガバナンスに関する提言
- 組織的、技術的コントロールに関する提言
- 人的コントロール(教育、研修など)に関する提言
- 各種ルールの運用実態の検証についての提言
- 危機管理の調査実務についての提言
- 再発防止策実施状況のモニタリングについての提言
この7つの提言で私の関心は、1,4,7の3つです。
・リスク管理施策における経営陣の基本姿勢についての提言
リスク管理という抽象的で広範囲な中に、情報漏洩対策が含まれています。経営陣の方々は、コンピュータ関連のリスクをどうも苦手なようで、自ら知ろうとしません。これはテクノロジーを理解する必要はまったくなく、リスクがコンピュータ関連、インターネット関連という場に変わっただけです。孫子の兵法にも「 弊害を十分に知りつくしていなければ、効果を十分にあげることはできない」とあります。リスクを管理のためのリスク管理になっているように思えます。
また、防衛側の視点から、攻撃側の視点に変えなければ、弱点は見えてきません。リスクとはそれがリスクと認識出来なければ何も発見できません。それがリスクと見えた人には、その対処もできます。それを攻撃側が発見したとすれば、宝くじに当たったようなものです。
・人的コントロール(教育、研修など)に関する提言
結局、テクノロジーがどれほど進化しても、人間はそれに追いつけません。また「人は必ず間違いをする」のです。性善説と性悪説でものをかたる方がいます。2つに分けたほうが理解も考えもまとまるので良いのですが、情報漏洩対策の人的対策においては、そんな簡単に2つで考えることが、そもそも間違いのはじまりです。
今回の事件は確信犯でしたが、その犯行に至った背景もあるのです。私が詳しく知ることはないのですが、あれほどの情報を30万程度で売っぱらう行為をみれば、正常な判断が出来ていなかったとしか思えません。
ダメ、ダメ、ダメ、の3連発じゃ、ダメなのです。何がダメで、それがどうなってしまうのか?
知ることが、まず第一歩です。何も知らなければ、何も認識できず、何も行動を起こせません。
情報漏洩の研修をやっていますが、必ず役職に応じた内容にしています。一般社員の方々には、それらを引き起こしてしまう背景や影響、その後の影響と自身に降りかかるリスクから守り方を伝えています。
一方、マネジメント系の方々には、徹底的な漏洩手口や攻撃側の視点を伝えています。これは攻撃を知らなければ守り方もわからないからです。
聞いていて、眠くなってしまうようなものでは、効果もでないのです。
・再発防止策実施状況のモニタリングについての提言
情報漏洩対策の1つに防止策があります。持ち出し禁止などのテクノロジーや規定です。もちろん重要です。しかし、今回の職責を考えれば、これらの禁止を回避することはいくらでも出来るのです。出来たのです。これは、防止策の限界でもあるのです。
抑止策で防止は出来ません。私は抑止効果のが大きいと考えています。
例えば、机の上に100万円の現金が無防備な状態であります。持って行ってもいいですがカメラでモニタリングしています!と。これがモニタリングの最大の抑止効果であると考えています。
モニタリングのモニタリングをすることも必要な場合があります。
「まなざし」が最大の抑止であると考えています。が、社内において自分の仕事に精一杯であれば、「まなざし」を向けることも出来ません。技術的なモニタリングに頼るしかないでしょう。
しかし、もっとも大切なことは、皆が「まなざし」という相互牽制で、あたたかく思うことだと。
何か情報漏洩対策は、犯人捜しや悪事を暴くように思われがちですが、それが出来ない安全な体制作りが、全社員、企業、ステークホルダーを守ることに繋がっていくものだと信じております。
関連ブログエントリー
機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)
三菱東京UFJ証券:1人1万円のお詫び金の算出基準ってなに?
そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり
続:三菱UFJ証券の情報漏洩に「情けなさ」を感じた。犯行報酬30万円の代償