こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
新型コロナウイルスの感染拡大により、全国的にテレワークが推進されています。自宅での在宅勤務、カフェや移動中の電車などで仕事をするモバイルワーク、勤務先とは別のコワーキングスペースやサテライトオフィス勤務など、新たな働き方は東京一極集中を解消するための対策にもなり、大手企業が社屋を地方へ移すなど地方創生の効果も見込まれています。
しかし、テレワークの普及と共にサイバー犯罪が国内問わず全世界で急増しています。この問題は深刻化しており、情報セキュリティの対策や見直しが注目されてきています。今回は、外部からのサイバー犯罪だけでなく、社内においてのセキュリティ対策についても触れていきます。
3つの定義による情報セキュリティとは?
情報セキュリティとは情報の「機密性」「完全性」「可用性」を確保することと定義されています。
機密性
機密性とは、権利を持った人だけが情報にアクセスでき、操作できる状態にすることです。アクセス権を管理することで機密性を確保し、情報の漏えいを防ぐことができます。アクセス制限には、コンピュータの操作を不可とする、情報の閲覧を禁止する、情報の閲覧は許可しても編集を禁止するなどの対策があります。
完全性
完全性とは、情報を破損、改ざん、または削除されていない完全である状態を確保することです。完全性を維持には情報にアクセスできる人を制限する、情報の閲覧権限と編集権限を分ける、情報に対して行われた操作の履歴をログとして残すなどの対策が必要です。
可用性
可用性とは、情報へのアクセス権を持っている人が、必要な時に情報の閲覧・編集などの操作ができることです。可用性を維持する必要性とは、自然災害時にサーバがダウンしないための対策を講じたり、バックアップを作成するためです。
上記の3つは情報セキュリティの三大要素であり、情報セキュリティの「CIA」と呼ばれています。
※CIA:機密性 (Confidentiality)、完全性 (Integrity)、可用性 (Availability)の頭文字をとったた単語です。
発生しやすい不正のトライアングルとは?
冒頭で触れましたが、セキュリティとは外部に対してだけでなく、内部の不正対策のためにも必要です。テレワークという環境は他の従業員がいない状況の中にあるため、不正行為は発生しやすい環境とも言えます。不正行為は会社だけでなく、不正行為をした従業員にとっても被害となります。従業員を犯罪者にさせないことは従業員を守ることにつながります。会社だけでなく、従業員を守るためにも不正のトライアングルを正しく理解し、社内体制を整えていくことが必要です。
概要
不正のトライアングル理論では、「動機」「機会」「正当化」という3つの要因が揃ったときに不正が発生するとしています。
動機
動機とは、人が不正を働くための主観的な理由です。「プレッシャー」とも呼ばれ、人を不正に向かわせる圧力とも言い換えられます。
- 金銭的な問題を抱えている
- 業務上のミスや過失を隠したい
- 会社から無理なノルマやプレッシャーを強いられている
機会
機会とは、不正を行うことができる環境です。
- 書類やデータが管理されておらず誰でも見れる環境にある
- 経理体制が整ってなく、不備のある経費申請も通ってしまう
- 業務が属人化しており、業務把握ができていない
正当化
正当化とは、自分の行為は悪いことではない、自分または第三者のためにやっているなど、事故を正当化する心理状態のことです。
- 家族の介護のためにお金が必要なため
- 自分の働きに見合った給与がもらえていない
- 組織のために自分がやるしかない
これら3要素のうちどれか1つでも欠けると不正は行われません。
- 「動機」があったとしても、「機会」が整っていれば不正は実行されません。
- 「機会」があったとしても、「動機」がなければ不正は実行されません。
- 「動機」「機会」があったとしても、良心の抑制があれば「正当化」せず、不正は実行されません。
実例
ベネッセ個人情報流出事件
2014年に株式会社ベネッセホールディングスのデータベースに格納されている個人情報が外部に持ち出され、最大3,504万件の個人情報が流出した事件です。流出した情報は進研ゼミなどの顧客情報であり、子どもや保護者の氏名、住所、電話番号、性別、生年月日などが含まれていました。事件の犯人はベネッセの顧客情報に関するデータベースの運用や保守管理を委託していた会社に勤める派遣社員のエンジニアでした。
委託会社は、株式会社ベネッセホールディングスから委託された業務を複数の外部業者に再委託をしていました。派遣社員は再委託先から派遣されており、データシステム管理を担当していたため、顧客情報にアクセスできる権限を持っていました。犯行が行われるきっかけとなったのは、データベースにアクセスできるパソコンに対して、私物のスマートフォンを充電するために接続した際にパソコンから私物のスマートフォンに顧客データのコピーができることに気が付いたためだそうです。
ここでの問題は、まず顧客情報にアクセスできる権限を持った人間が不正を働いたこと、パソコンから私物のスマートフォンにデータをコピーできてしまう環境が存在していたことです。もちろん、不正は絶対にしてはいけないことですが、管理体制が不十分だったことも大きな問題です。
必要不可欠な情報セキュリティ対策とは?
インターネットや情報システムは、業界問わずどの企業や組織にとって必要不可欠なものとなりました。一方で、情報システムの利便性に頼りすぎてしまい、不正行為やサイバー攻撃などの脅威が常に身近に存在するようになりました。企業や組織、店舗が抱える顧客情報が流出してしまえば、会社の信頼は低下し、顧客離れや損害補償の責任を取る必要があり、大きな被害や影響をもたらします。そうならないためにも情報セキュリティ対策を講じる必要があります。代表的な情報セキュリティ対策は以下のようなものがあります。
ウイルス感染
- ウイルス対策ソフトの導入
- ソフトウェアの更新
- 危険なWebサイトのフィルタリング
不正侵入
- パスワード管理
- ファイアウォールの導入
- 侵入防止システムの導入
- ソフトウェアの更新
- ログの取得と管理
情報漏えい
- ファイアウォールの導入
- 顧客データなどの管理
- 資料、メディア、機器の廃業ルールの徹底
- 無線LANのセキュリティ設定
- ユーザ権限の管理
- パスワード管理
災害などによる機器障害
- バックアップ
- 無停電電源装置の設置
- 設備の安全管理
社内の情報セキュリティ対策はいかがでしょう。一度、見直してみることをおすすめします。
情報セキュリティ対策を行う必要性についてお話ししましたが、一方で、デメリットとなることもあります。それは、厳格なルールを作れば作るほど自由が効かなくなることです。
例えば、フィッシング対策としてメール添付機能でのファイル送信を禁止した場合、もし、お客様からメール添付でファイル送信をお願いされた時に社内では禁止しているからと断ると仕事になりません。しかし、一部のお客様だけを許してしまうと情報セキュリティ対策に抜け穴が発生して、そこからフィッシング詐欺の被害へと発展する可能性が増えてきます。つまり、制約が増えれば増えるほど融通が効かなくなってしまいます。社内の情報セキュリティ対策において、何が必要か、逆に何は不必要なのかをしっかりと見極めて対策することが重要なポイントです。
さいごに
情報セキュリティ対策はとても難しい問題です。セキュリティリスクと業務効率は相反するものであり、特に経営者の方は、そのバランスを判断しなければなりません。情報セキュリティ対策の縛りが厳しくなればなるほど、社員の負担は増え、働きにくい環境となりますが、業務効率を優先しすぎるとサイバー攻撃や内部不正が発生するリスクは高まります。安全かつ働きやすい仕組みを作るためにも、今一度情報セキュリティについて見直しをお勧めします。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
