ISO取得・コンサルティングサービス 帝国データバンクネットコミュニケーション

帝国データバンクネットコミュニケーション
岡崎 弘明

　情報セキュリティは、非常に奥が深い。敵の正体が目に見えにくく、さらには敵の姿自体が日ごとに変容していくからだ。しかも敵は外にいるだけではなく、内にもいる。と言っても、犯罪者が会社の中にいるかもしれないということではなく、社員の意識の低さが情報セキュリティ上で大きな脅威になり得るという話である。

　当レポートで以前も記したが、情報セキュリティ事件・事故のトップ３は以下である。

　１位の紛失は管理不足に起因し、情報を取り扱う社員の意識が大きく影響する。２位の盗難についても、最も多いのがＰＣを盗まれるケース（車上荒らし、置き引きなど）であり、やはりＰＣを外に持ち出す際の社員の気のゆるみが関係してくる。３位の人的ミス（メールやＦＡＸの誤送等）に関しては、ほとんどが意識の低さに起因していると思われる。

　これから分かるように、社員（パート・アルバイトを含んだ従業者）の情報セキュリティに対する意識が高まれば、事件・事故は起きにくくなると言えよう。

　当然ながら、技術で対応できるものもある。たとえば、電子メールの誤送信を防ぐため、直接先方へ送らず、いったんネット上のファイル倉庫に送信し、それを先方にダウンロードしてもらうという方法である。送信〜ダウンロードのタイムラグの間、もし早い段階で誤送信と気付けば、ファイルを消すことができる。直接送ってしまった後で誤送信と気付いた時にはすでに遅かったというリスクは多少避けられる。

　技術的対策で、ある程度は防げるが、コストがかかり、しかも完ぺきではない。やはり、意識の向上があってこそである。理想を言えば、意識の向上＋技術的対策であるが、優先順位を付けるとすれば、やはり意識の向上であろう。

　それでは、従業者の意識をどう上げていくのか。これは教育につきる。情報セキュリティの教育としては、一律的な全社員教育だけでなく、社員入社時の教育や、人事異動に際しての教育、情報セキュリティ違反者への再教育など必要に応じて行っていくことが肝要である。また、教育には以下のような様々な方法があるが、費用と有効性を考えて選択せねばなるまい。

1. 集合研修型
   １−１：社外セミナーへの参加
   １−２：社内に講師を招いてのセミナー
   １−３：社内でテキストを作り、講師も自分たちで行う内製型の研修
2. 読本での個々の学習
3. テストの実施

　この中で、あまり効果が期待できないものは、２の個々の学習である。自主性に任せても、なかなか実現は難しい。また、１−１も一般的な話となり、あまり意識は高まらない。やはり、情報セキュリティの事件事故が起きると自分たちにどんな被害・影響が出てくるのか、身近な事例で学ぶと効果的である。自身の問題としてとらえやすくなるからだ。その観点から選ぶとすれば、１−３の内製型の研修である。自分たちでテキストや資料を作るという手間はかかるが、社内で実際に起こった事例などを踏まえて研修をすると、迫力が違う。また、そもそもテキストや資料作り自体が、まずはその担当者達の意識を高めることにも繋がる。

　もう一つ効果が高いのは、３のテストの実施である。表１に、弊社がコンサルティング時に使うテストの一例を記した。表２に解答・解説も載せているので、是非試していただきたい。今回の例題は一般的なものであるが、実際には各企業の情報セキュリティに関する細かい自社ルールについて問うと有効性は上がる。

　さらに、テストは教育以外にも、会社のセキュリティホールを見極めるために有効である。すなわち、テストで意識が低い結果となった社員というのは、会社としての情報セキュリティの穴になる可能性があるわけで、たとえばその社員が個人情報を取扱っていた場合、漏えいや紛失などのリスクが大きいということになる。その社員をピンポイントで再教育すれば、穴は埋まっていく。非常に効率的、効果的で、低コストのセキュリティ対策に繋がるのである。

　理想的な教育のスタイルは、上段で述べた「内製型研修」を実施し、その教育効果を測るために、また会社のセキュリティホールを見つけるために「テスト」を行うという形であろう。

〈表１：情報セキュリティテスト問題の一例〉

設問	チェック欄
１．すべての企業は、リスクをゼロにするような情報セキュリティ対策を進めなければならない。	・はい ・いいえ
２．社内ネットワークへの自分のパスワードが他人に知られたと思ったら、次回のパスワード定期更新の際に必ず変更しなければならない。	・はい ・いいえ
３．極秘資料に「極秘」と書くのは、宝のありかをわざわざ示すようなものであり、情報セキュリティ的には問題があるので、何も書かない方がよい。	・はい ・いいえ
４．机の上をきれいに片づけておくことも、情報セキュリティ対策の一つである。	・はい ・いいえ
５．電子メールに添付されたファイルで、「.exe」と拡張子のついたものはアプリケーションであり、ウイルスに感染している恐れは少ない。	・はい ・いいえ
６．個人で購入したソフトを、会社のＰＣにインストールすることは、お金を払っているのであり、何ら問題はない。	・はい ・いいえ
７．ＰＣをインターネットに接続さえしなければ、コンピュータウイルス感染の恐れはなくなる。	・はい ・いいえ
８．消費者等の顧客情報は大切な個人情報であるが、会社の従業員データは個人情報ではない。	・はい ・いいえ
９．新たなウイルスに関しての情報が知り合いからメールで来た場合は、重要かつ緊急の情報である場合が多く、一刻も早く他の人へもメールで教えてあげる心配りが大切である。	・はい ・いいえ
１０．ＰＣがウイルスに感染したかもしれないと感じた場合、まずは本当に感染しているのかどうかきちんと確認してから、管理者に報告すべきである。	・はい ・いいえ

〈表２：情報セキュリティテスト解答及び解説の一例〉

１．正解は「いいえ」 １００％完ぺきなリスク回避を果たそうすると、コストも手間もかなりかかり、そもそもリスクをゼロに抑えることは絶対に不可能です。小さなリスクについては許容するほうが現実的です。

２．正解は「いいえ」 定期更新まで待つのではなく、速やかに変更すべきです。

３．正解は「いいえ」 「極秘」と書くのは確かにリスクがあります。わざわざ大切なものであることを教えるようなものです。しかしながら何も書かないと、極秘と分からずに、見ることを許可されていない社員が見てしまう可能性もあり、セキュリティ上、大きな問題があります。社員には分かるが、外部には分からないような別の名称やマークを付けることも対策のひとつです。

４．正解は「はい」 「クリアデスク」と呼ばれる情報セキュリティの対策です。大切な書類を使わないときは、引き出しやキャビネットへしまうことが肝要です。これにより、漏えいや紛失などのリスクが軽減化されます。

５．正解は「いいえ」 もっとも注意すべきファイルが、この「.exe」と書かれたものです。知らない人からのメールで、このファイルが添付されていた場合、決して開かないようにしましょう。

６．正解は「いいえ」 もし、自宅のＰＣにインストールしてさらに会社のＰＣにもインストールするのであれば、ライセンス上の問題が発生する可能性があります。その問題がクリアされていても、私物のソフトを会社の資産（PC）に入れ込むこと自体、問題です。

７．正解は「いいえ」 インターネットに接続しなくとも、ウイルス感染の恐れはあります。社内ネットワークから、あるいはUSBメモリやMOなどの媒体を経由して感染しますので注意が必要です。

８．正解は「いいえ」 社員データも立派な個人情報です。自宅の住所、電話などに加え、勤務評価や給与額なども含まれますので、その取り扱いには細心の注意を払わねばなりません。

９．正解は「いいえ」 デマの可能性もありますし、もしそれが真実の情報だとしても、チェーンメール化（あなたの送ったメールを読んだ人がさらに他の人へと送り、数珠つなぎとなっていく状態）する場合もあります。慎重に取り扱う方がよいでしょう。

１０．正解は「いいえ」 怪しいと思ったら、すぐに管理者に連絡をしましょう。その際、ＰＣをネットワークから直ちに切り離すことが肝要です。感染の事実は管理者に確認してもらう方がよいでしょう。