オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)

»

仮に善悪を棚にあげても、1つだけ間違いのないことは、管理者である以上アクセスする方法も回避する方法も熟知しているのです。この無断アクセスって管理者なのだから、アクセス出来なきゃ仕事にならず、その範囲は微妙な感じがします。

IT管理者の35%が社内の機密情報に無断アクセス,「解雇されたら持ち出す」ITpro Researchより

情報セキュリティ会社の米Cyber-Ark Softwareは,企業のセキュリティについて,IT管理者400人以上を対象に実施した調査結果を米国時間2009年6月10日に発表した。それによると,回答者の35%が社内の機密情報に無断でアクセスしていることを認めた。1年前のその割合は33%だった。

 現在導入されている監視システムをすりぬけて機密情報にアクセスできるという回答者は74%に達した。許可なしにアクセスしている機密情報としては,人事に関するデータ,顧客データベース,買収/合併プラン,解雇者リスト,マーケティング情報などだった。

昨年エントリーした上記調査会社の調査、もしも明日解雇されるならば、私は機密を持ち出す---回答者の88%・・・らしいでは、持ち出す人が88%でした。今回の調査は、内部での無断アクセスが35%って調査結果だったようです。この記事が2008年の8月だったので、昨今の状況を考えればこの88%も、もっと増えていると思われます。

IT管理者の無断アクセスって、その範囲が微妙なところです。回答にもあるように74%は監視システムを回避するようです。当たり前ですね、監視や監査の仕組みを「行う側」です。となると、自己申告になりますが、こんなの自己申告する人ってどれだけいるのでしょうか?

情報セキュリティの対策には、禁止することも必要ですが、それ以上に「事故が起きにくい環境づくり」を企業がしなければなりません。

これはコンピュータだけの問題ではありません。物理的な対策も必要です。紙資料などもあります。ITセキュリティへの対応は、業務でどれだけの情報をITで使っているか?IT依存度は?これがモノサシです。今どき、ほとんどの業務が関係していますね。

最近では、証券会社から大型情報漏洩事件もありました。これもIT管理者の方でした。管理者の方々は、こんな持ち出しをする環境になったとき、正しい判断が出来ていれば。。。問題も減少するでしょう。しないと思います。私はそう信じたいと考えています。これらには色々な問題が複雑に絡み合っているのです。正しく判断が出来るならば、悪意な事件は減ると思うのです。

だからこそ、起きにくい環境づくりが必要であると考えています。これは何かを出来なくすることではありません。いくら出来なくする環境を作ったとしても、意味がありません。それでは管理者の仕事にならないからです。

裏の裏は表であり、敵の敵は味方でもあるのです。複数の「まなざし」があることが、未然にトラブルを防ぐ1つの仕組み作りだと思うのです。

Comment(0)

コメント

コメントを投稿する