情報セキュリティについて考える際に、まずはじめに「外部に多くの脅威が存在し、また、内部の脅威も悪意を持った何者かであり、その脅威から身を守らなくては!」という想いを持たれている方も多いのではないでしょうか。
もちろん外部にたくさんの脅威が存在していたり、脅威は悪意を持った何者かによって生み出されていることは間違いないですし、その脅威に対して対策を行っていくことも大切です。しかし、実態を見てみると、目を向けるべき脅威は外部に存在しているとは限りませんし、悪意のあるものとも限りません。
そこで今回は、内部にしっかり目を向けることの重要さについて考えてみたいと思います。
インシデントの発生理由は悪意のない原因が多い
まず、NPO日本ネットワークセキュリティ協会が発行した「2018年情報セキュリティインシデントに関する調査報告書」で発表されている、原因別の個人情報漏えい件数上位5つを見てみましょう。
| 順位 | 原因 | 具体例 | 割合 |
|---|---|---|---|
| 1 | 紛失・置忘れ | PCやスマホなどを電車や外出先で紛失したり置き忘れる | 26.2% |
| 2 | 誤操作 | 宛先の書き間違え/操作ボタンの押し間違えなどのミス | 24.6% |
| 3 | 不正アクセス | 第三者がネットワークなどを経由して不正アクセスを行う | 20.3% |
| 4 | 管理ミス | 管理ルールが曖昧で情報が紛失する/作業手順の誤りで情報が漏えいするなど | 12.2% |
| 5 | 盗難 | 車上荒らし、事務所への侵入などで盗まれるなど | 3.8% |
上位5つを見ただけでも、「紛失・置き忘れ」「誤操作」「管理ミス」と3つの悪意のないミスが挙がっています。そしてこの3つだけで、個人情報漏えいインシデント原因の60%を超えています。
この調査は個人情報の漏えいが対象となったものではありますが、情報セキュリティ全体においても、内部での悪意のない行動が多くの影響を与えていることを認識するべきであるといえるでしょう。
悪意のない脅威にはどう対応すればいい?
外部や内部からの悪意のある脅威に対しては、しっかりと追及して罰することが必要です。しかし、悪意のないミスやリスクに対しては、処罰を下して済ますことが適切だと一概には言えないでしょう。
では、どのように対応していくことが良いのでしょうか。
よく発生するミスを洗い出す
ヒヤリハットやインシデント、作業ミスなどの情報を従業員から収集すると、よくミスする作業やルールとして不備のある業務などが明確になってきます。
すると、どこに対応する必要があるのかということも見えるようになってきます。
悪意のないミスやリスクなどは、自組織の力で低減することも可能な脅威でもあるため、まずは何に対応すべきか明確にしてみましょう。
ルールや手順を明確化・文書化する
悪意のないミスやリスクについて、特に何が発生しやすいのかが明確になったら、次は、ルールや手順の明確化を行ってみましょう。
作業ミスや管理ミスなどが発生する理由には、その業務に明確な対応手順がなく、各個人の考え方に則って作業を行っているということもありえるでしょう。しっかりとルールや手順を明確にすることで、業務が一律化されて作業ミス・管理ミスなども起こりにくくなるかもしれません。
また、社内ポータルサイトで共有するなど、ルールの明文化もすることで、よりしっかりと共通認識を持てるようになるでしょう。
ツール導入などの追加対策をとる
ルールの明確化はすでに行っているが、悪意のないミスやリスクは発生し続けているという場合などもあるかもしれません。その場合には、業務効率化のためのツール導入といった追加対策も検討できることのひとつです。
例えば、メールの誤送信というミスが多いようであればメールの送信保留機能などを導入することで改善できるかもしれませんし、スマートフォンの紛失が多いのであれば、ストラップの貸与や遠隔ロックができるアプリの利用などを行うことでミスやリスクの低減ができるかもしれません。
まとめ
今回は、情報セキュリティについては外部や内部からの悪意のある脅威以上に、内部における悪意のないミスなどにしっかり目を向ける必要があるという話を進めてきました。
悪意のないミスやリスクは、悪意がないからこそ罰することが難しいですが、一方で、ルールの整備や対策の実施など自組織の努力によって大幅に低減できる部分でもあります。
しっかりと従業者の立場に立って仕組みの整備や取り組みを行っていきましょう。
