日商 Assist Biz

更新

企業を襲うサイバー脅威 企業内部の人的脅威②「内部不正」

「怠慢行為」されてませんか?

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと思われるかもしれません。しかし、企業に脅威をもたらす行為であることに変わりありません。そして、内部不正と同様かそれ以上の被害をもたらすこともあります。

「ルール違反」で、多いものの一つが「怠慢(怠惰)」呼ばれる行為です。怠慢行為は、組織で決めたルールや手順を「面倒だから」とその通りに実施しない、というものです。会社で決められた方法や手順の通りに廃棄しない(書類やメディアをシュレッダーで処理せず、ごみ箱に捨てる)、決められた桁数や複雑性のパスワードを設定しない(もしくはパスワード自体を設定しない)などがその例です。

対策としては、ルールに基づくモニタリングと監査の徹底、その上での教育が重要になります。

前回取り上げた内部不正をする者は、「(行為が)見つからないだろう」と考えて不正行為に及びます。それに対し、怠慢行為をする者は「(ルール通りに実施しなくても)見つからないだろう」と考え、決められた通りのルールや手順で実施しないのです。つまり、モニタリングと監査が徹底していなければ、内部不正も怠慢行為も減らないのです。「見つかるかもしれない」と思えば、不正行為を思いとどまったり、面倒でもルール通りに実施します。つまり、これが内部不正やルール違反に対する抑止となるのです。

そして、ルール通りに確実に実施できるように教育を行います。ルールの教育をする場合は、規程や手順書を読み上げるだけでは意味がありません。なぜルール通りに実施しなければならないか。つまりルール通りに実施した場合のメリット、またはルール通りに実施しなかった場合のデメリット(どんな被害や影響が想定されるかなど)を、必ず説明しましょう。対策の方法や手順が分からなければ「面倒くさそうでやりたくない」と考えてしまうのです。そのメリットやデメリットが分からなければ「だったら、別にやらなくてもよさそうだ」と捉えられてしまい、怠慢(怠惰)行為につながってしまうからです。ただし、モニタリングと監査をしていても、チェック機能が不十分だったり、あるいは想定しやすかったりと、「形骸化」している場合は効果がありません。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ人材育成業務を担当している。『IT現場のセキュリティ対策完全ガイド』(日経BP社)『情報セキュリティプロフェッショナル教科書』(アスキーメディアワークス、共著)など著書多数

次の記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

前の記事

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…

関連記事

長谷川長一

偽情報は「デマ」などと呼ばれ、以前からさまざまな事実とは異なる情報により多くの人々がだまされてきました。近年はインターネットで個人が情報を発信できるようになり、イン…

長谷川長一

今月は、クラウドサービス利用時のリスクについて説明します。クラウドサービスは、ここ数年で急速に普及しました。インターネットに接続できる環境があれば、利用する機器や場…

長谷川長一

USBメモリーやSDカード、ポータブルハードディスクドライブなどの媒体や機器は、軽量かつ小型で持ち運びに非常に便利です。これらのデータが保存できる容量は年々大規模になり…