日商 Assist Biz

更新

企業を襲うサイバー脅威 企業内部の人的脅威③「ヒューマンエラー」

「ヒューマンエラー」は避けられない

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがあります。

「誤操作」は、PC自体の操作ミスのほか、電子メールやFAXの送信ミス、郵送のミスなども含まれます。人間である限り、操作ミスや設定ミスは、どうしても発生してしまうものであり、100%防止することはできません。

PCやモバイル機器(携帯電話、スマートフォン、タブレットなど)、媒体(USBメモリー、CD/DVD、メモリーカードなど)、書類などの持ち出しが業務で増加し、そして小型化・軽量化されていることが、「紛失・置き忘れ」が増えている要因と考えられます。

ヒューマンエラーは、「つい、うっかり」つまり「不注意」です。人間は集中力や注意力を持って物事に取り組むことができますが、それにはもちろん限界があります。それが途切れたときに、起こるのが「不注意」です。不注意により、さまざまなヒューマンエラーの事故が起きているのです。

ヒューマンエラーによる事故は、意外と「ここでミスはしないだろう」というところで起こっています。そんな例として、「徒然草」の「高名の木登り」の段では、木登りの名人の男が、弟子を木に登らせ枝を切らせたとき、高い危険な所では全く注意せず、あと少しという所まで降りてきたときに初めて、「気を付けなさい」と声を掛けます。弟子は「こんな低い所でけがもしないだろうに、なぜ注意するのですか?」と尋ねます。すると、木登りの名人は「目もくらむような高い所では、本人が最大限に注意をするので何も言わない。もっとも危険なのは一見簡単に見える所で、失敗は必ずそういう所で起きる」と言ったのです。

つまり、意外と危険性が少ないと思われる場所で、注意力が途切れ事故が起こるということです。ヒューマンエラーが起こること自体の想定は難しくありませんが、業務のどのようなプロセスや状況で起こるのかは意外と想定が難しいのです。ですから、思い込みでヒューマンエラーの状況や原因を判断してはいけません。結果的に誤った判断となり、さらなる事態の悪化や再発を招くことになります。

ヒューマンエラーの状況や原因は、必ず事実(運用の履歴やログ)から判断しなければなりません。そのためには、日々のさまざまな記録(ログ)の取得が必要になります。つまり、事実を示すログを使って根本的原因を特定・究明しなければならないのです。

情報セキュリティー対策には、王道はありません。地道なかつ適切な日々の運用の積み重ねが大事になります。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ人材育成業務を担当している。『IT現場のセキュリティ対策完全ガイド』(日経BP社)『情報セキュリティプロフェッショナル教科書』(アスキーメディアワークス、共著)など著書多数

前の記事

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

関連記事

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…

長谷川長一

偽情報は「デマ」などと呼ばれ、以前からさまざまな事実とは異なる情報により多くの人々がだまされてきました。近年はインターネットで個人が情報を発信できるようになり、イン…

長谷川長一

今月は、クラウドサービス利用時のリスクについて説明します。クラウドサービスは、ここ数年で急速に普及しました。インターネットに接続できる環境があれば、利用する機器や場…