■ 講師:中島 洋 MM総研所長
■ 主催:東京経営者協会城北東支部
■ 実施日:2011年2月22日
■ 場所:東京・池袋 メトロポリタンホテル
社員による情報漏えいやブログへの不用意な書き込みなど、企業の信用にかかわるネット上のトラブルが頻発しているが、物理的、ソフトウェア的な防御策はあるのか、最も重要な「人間系」の対策はどうするのか、ネットセキュリティ教育の考え方やネット上のトラブルに巻き込まれた場合の会社の対処法などについて考えてみた。
まず、トラブルの原因の多様さ。意図したネット攻撃もあるし、企業の側での防御不足を突かれるウィルス感染、また、従業員の不適切な行為によるファイル共有ソフト利用による重要の流出である。近年は社員による企業重要情報
の持ち出しによる流出など、多様なものがある。
次いで、企業の管理責任を問われるトラブル。自社だけに係る社内情報だけでなく、他社にも関係している情報の漏えい、同様に自社他社に係る重要情報のシステム破損による消失、さらにネットワーク侵入者が自社管理の情報システムそのものには損害を与えないが、ここを「踏み台」にして他のネットワークサイトの侵入・破壊などに利用される。こうしたトラブル起きている。
では、こうしたトラブルが与える企業の損失はどんなものか。当然ながら企業の業務に必要な情報消失による業務停止による損害、業務停止によって取引先に及ぼす損害や取引先や顧客情報を損失、または流出したことによる損害賠償やお詫びの支出、もっと大きいのが、情報管理ができていないという企業の情報ガバナンス欠如に対する信用棄損、とそれによる取引停止などの損失。従業員の違法コピーソフト利用をソフトウェアメーカに発見されれば企業の「知
財管理責任」も問われて損害賠償の対象になる。ファイル共有ソフトの利用による違法コピーを社内のパソコンによって使用していることを放置すれば従業員管理責任も問われることになる。
最近の新しいネットトラブルには、従業員が個人的に発信するツールの問題がある。企業の情報がブログ、ツイッターなどによって流出する事件である。USBメモリーなどの使用禁止、メールによる添付データの制限や禁止などの社内ルール強化や物理的にUSBメモリー口をふさぎ、サーバーでの添付ファイル削除、などの方策は行っているが、社員が個人でブログやツイッターで社内情報を漏らすことは防ぎきれない。
完全ではないが社員教育である。まず、社員教育は正社員でないと意味がないことは認識しておく必要がある。コストが安いといって正社員以外の社員を多用し、重要情報にアクセスするようなことは安全対策をしていないのと同じである。その正規社員も、待遇に不満でしじゅう、出入りが激しくてはセキュリティを議論できない。そうした企業文化を整えたうえで、就業規則を厳格化し、その規則を体で実感できるように研修することである。その研修もWebラーニングにして未受講者への督促、終了テスト不合格者への再履修案内や督促などの作業を自動化し、記録をしっかり残しておく。何か事故が起きた時、そこまで努力をした上でのものならば、相手に対してするお詫びにも先方はいくらか納得してくれるだろう。
もちろん、社員のパソコンの操作を記録して監視し、通常業務とは異なる操作をしている端末を自動抽出して特別監視下に置くようなサービスもいくつか出始めている。こうしたサービスも合わせて利用することを検討すべきだろう。