企業で情報・システム担当の方に質問です。セキュリティ・ソフトウェアを入れていても、防ぎ切れない「こんなことでこまっている」というようなことがあったら教えてください。よろしくお願いします。
昨年度まで担当しておりました。社内で議論する前提としたシステムでは禦げず、かつクリティカルなのは
・ノウハウ、未公開情報など知っていることを、故意の有無によらず他所でしゃべること
です。家族がライバル企業、漏れては困るところで働いているとか、転職・退職の際にリスクがあります。
他にも
・人間的な暗号、お互いにしか判らない諜符でのやりとり(麻雀でいうなら”通し”です)
これはシステムでは禦ぎようがありません。
あまりガチガチにすると人間は抜け道、抜け穴を探すので、返って漏洩リスクを高めることになる、よって、システムによるガードはほどほどにしようという方針になりました。
URLはダミーっす。
当たり前ですが、セキュリティソフトウエアはツールであり、その使い方を間違える(故意でも過失でも)場合は、セキュリティ上の「防ぎ切れない」リスクは残ります。
もっと云えば作業者の心にまで踏み込むことが出来ない以上、どのようなツールを以ってしてもリスクは残るのです。
例えば正しい権限を持った利用者が正しい手続きを踏んで正しくアクセスした場合、目的とする情報は丸裸になってしまいます。その利用者が悪意を持っているか、今後持ちえるかは誰にも(もしかすると本人も)わかりません。
一部ではそういった心の問題に関しても心理的アプローチと組み合わせるツールの開発も進んでいると漏れ伝えられています。
見聞きした範囲で困った事例を挙げると、職位、職責の高い方々への応対だったりします。こういった方々の中には職位、職責に応じた高い権限をアカウントに付与するように要求してきます。パスワードのいい加減な設定しか出来ない人に権限を与えることはそのままリスクなのに中々理解してもらえなかったりします。
企業の不祥事の多くに経営層が関与している場合であるのはご承知の通りです。
ありがとうございます。なるほど、権限を持つ人ほど、心理的な要素が大きくなるということですね。
上記、回答のお二人、質問者の方も人的要因について触れられていますが、そこをどうマネージメントしていくか?という事を規定し運用していく事。そして、それがきちんと実施されているか?を認証する制度としてISO/IEC27001,ISMSなどがあります。
[rakuten:book:11106458:detail]
http://www.isms.jipdec.jp/isms/
ちなみにISO27001,ISMSの中にはリスクアセスメントとしてセキュリティのリスクを洗い出して認識し、その「防ぎ切れない」ものをどう対策するか?(残留リスク)という点に関してをどうするかという事があります。リスクはリスクとして「そりゃ、しゃーねーなー」と受容するという選択肢もあります(経営陣の承認があれば)
『防ぎ切れない「こんなことでこまっている」』ってのを予め認識できているか?(洗い出せているか)ってのが大事だとおもいます。
# 元の質問の回答になってなくてすみません。
ありがとうございます。人的要因のマネジメントまで踏み込んでいただきましたね。多分この議題はCIOを含む経営陣の決断によるところなのでしょうか。
ありがとうございます。人的要因、また「セキュリティリテラシー」ということですね。参考になります。