仕事の能力や役職の高さと、情報管理の適性は別問題。任せきりのITセキュリティになっていませんか?

信頼できる部下に任せているから、うちでは情報漏えいなんて起きない」。もしもこんなふうに考えているなら、情報管理の感度が鈍くなっているかも。漏えい事件の大半は、「内部」に要因があるといわれています。メールの送り先をうっかり誤ってしまった、顧客情報を閲覧可能な設定にしていた……こんな話も珍しくありません。

いくら慎重を期しても、過失やミスをゼロにするのは難しい。金銭目当ての情報持ち出しの可能性もあるでしょう。情報セキュリティには、社員を「信頼できる・できない」ではなく、組織としていかに発生を抑えるか、というリスクマネジメントの視点が必要です。

まずは「守るべき情報は何か」を明確にすることが大前提。そのうえで、機密度合いを格付け・分類するなどの整理をしておきましょう。分類せずにあらゆる情報を機密扱いにしては、業務に支障が出てしまいます。一方で、例えばトップシークレット扱いのような情報であれば、当然、利便性よりも機密性を優先すべき。情報セキュリティは一律の対策ではうまくいきません。機密レベルや情報の種別に応じて、取り扱いができる人材を配置したり、情報へのアクセス制御を適切に施したりすることで、事故の起きにくい環境を整えましょう。職位が高いからといって、多くの情報にアクセスできるようでは危険です。

環境整備の一例は、システムの強化やルールづくりです。パソコン端末からのアクセス、あるいは操作記録(ログ)をサーバー側で採取し、保管しておくことがまず第一歩です。法人向けのセキュリティソリューションを使い、各人のパソコンやサーバーを集中管理している会社もあります。USBメモリーなどの外部記憶装置への情報のコピーを禁止する企業も増えてきました。

そもそも情報管理が甘い人は、自分が取り扱っている情報の重みを理解できていないのかもしれません。小さなミスが、取り返しのつかない事態を招く可能性があることを伝えて、引き締めを図るのもマネジメントの一つです。

また、いくらできる部下であっても、急にミスが増えたり、業務に強いストレスを抱えているようなら、機密を扱う業務には不向きです。チームのメンバーと普段からコミュニケーションを取っておくことも大切です。「まさか」に備えてシステム面と人材面、双方から環境整備をしておくこと。これができている会社は万一漏えいが起きてしまったとしても、そのダメージがより小さい段階で事件を収束できます。確かな対策が、部下一人ひとりを守り、ひいては会社と取引先を守ることにつながるのです。

《ネットセキュリティ ステップアップセミナー開催中》
KASPERSKY After 7 Seminar 毎月1回開催 (女性限定)
●日程・詳細 https://kas.pr/aZN6
●メールでのお問い合わせ jp-sjevent@kaspersky.com


前田典彦(まえだ のりひこ)株式会社カスペルスキー  チーフセキュリティエヴァンゲリスト。マルウェアやインターネットセキュリティに関する調査研究や、ITセキュリティ対策の啓発活動に取り組む。

※カスペルスキーは、世界主要32か国でITセキュリティソリューションを提供し、全世界で4億人を超えるユーザーと27万の企業をIT上の脅威から保護しています。

女性リーダーのためのITリスク管理術

01. あなたのスマホが狙われている
02. “フリー”に潜むワナ
03. 自分が感染源になる日
04. 会社の口座からお金が消える……
05. あなたの会社、まだ「性善説」ですか?
06. もっていますか?当事者意識と学びの機会

(Illustration=おかの博美)