情報セキュリティの話4

本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の4回目となります。

 

前回に引き続き、セキュリティ事故とヒューマンエラー対策についてのお話となります。

 

会社等の組織における代表的なセキュリティ事故としては、データが入ったメディアの紛失(置き忘れなど)、データの誤送信(メール、FAXなど)、メール操作の誤りによるマルウェア感染が挙げられます。

 

今回は、データが入ったメディアの紛失(置き忘れなど)の対策について説明します。

 

データが入ったメディアの紛失の典型的な例としては、職務上のデータが保存されたUSBストレージやノートPC、スマホを、職場以外の場所に落としたり置き忘れてしまったりし、その後見つからなくなってしまうというものが考えられます。

 

これらのメディアが第三者に渡ってしまった場合、その第三者が警察や建物の管理者等に届けてくれない限りは、回収は困難となり、メディア内部の情報を見られてしまう可能性があります。

 

1つめの対応策としては、そもそもメディアを外部に持ち出す必要がない業務設計をする、ということが挙げられます。
大切なのは、メディアを外部に持ち出さないというルールを定めることではなく、メディアを外部に持ち出さなくても円滑に業務が遂行できるようにすることです。
紛失のリスクを負ってまで、業務上のデータが入ったメディアを持ち歩きたい人は、通常いないと考えられます。
黙示のものを含め、現場の担当者では抗えない何らかの事情があり、やむなく持ち出しているということも多いです。

 

2つめの対応策としては、万一メディアを紛失しても、第三者がその中身にアクセスできないようにすることです。
具体的には、パスワードによるロック(できればハードウェアレベルの暗号化)、生体認証によるアクセス制限、遠隔操作によるデータ消去が挙げられます。
ただし、これらの対応策の効果は絶対的なものではありません。
高いデータ復元技術を持つ第三者が操作することで、情報が漏洩してしまう可能性も、ないとまでは言い切れないという点には注意が必要です。

 

結論としては、できる限り外部にメディアを持ち出さなくても済む業務設計をし、どうしてもメディアを持ち出さなければならない事態に備えて、データへのアクセス制御を施すことが、データが入ったメディアの紛失(置き忘れなど)への有効な対策となります。

情報セキュリティの話3

本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の3回目となります。

 

今回は、過失によるセキュリティ事故防止について述べます。

 

これは、人的な面でのセキュリティ対策に属するものであり、主にシステム担当者ではない一般的な従業員等の挙動に着目した対策です。

 

まず、重要な前提として、ヒューマンエラーは発生しうるという概念を念頭に置く必要があります。

 

これは、何らかの作業をする人が、どれだけ誠実な性格を持っていたとしても、そしてどれだけ細心の注意を払いながら作業をしていたとしても、確率論的にミスは生じるという考え方です。

 

筆者は、航空会社に勤めていたことがあり、この考え方は、航空機の整備部門では古くから取り入れられている考え方であると教わったことがあります。
航空機の整備においては、ひとつのミスが大きな危険を生んでしまうことがありますが、それを望んで整備をする方などはいるはずがないのです。
むしろ、これ以上ないくらい緊張感を持って作業をしているにもかかわらず、小さなものも含め、危険が生じてしまうことがあります。

 

ヒューマンエラーの発生は、その作業をした方個人の自助努力だけでは防ぎようがありません(上述の前提は、このように言い換えられます)。
そのため、ヒューマンエラーが実際の事故につながることを抑制するためには、組織的な対応により、セーフティネットを設ける必要があります。
そのような対策をしておらず、ヒューマンエラーによる事故の責任まで個人に負わせる組織は客観的にみても危険であり、従業員の観点からしても、信用できない就労環境であるともいえます。

 

次回以降、代表的なセキュリティ事故と、ヒューマンエラー対策について説明します。