情報セキュリティ対策では「桶の理論」の認識が重要です。桶の1か所に穴があると、そこから水が流れ出してしまいます。水面の高さ、すなわち桶の容量は穴の位置で決まります。
どんなに高度な対策をしても、どこか1か所に脆弱性がある(セキュリティホールという)があると、そこから脅威がインシデントになってしまいます。情報セキュリティへの脅威は多様です。とかく「情報」セキュリティというと、コンピュータやネットワークが対象でIT部門の仕事だと思われがちですが、全社的取り組みとして対処しなければなりません。
情報セキュリティ対策推進に関するアンケートでも、「全社員の認識の向上」が常に上位になっています。
三菱総合研究所、日本情報システム・ユーザー協会「経済産業省委託調査 情報セキュリティガバナンス実態調査2008」2009年によると、「情報セキュリティ対策取り組み上の状況、貴社の情報セキュリティ対策取り組みについて困っている事項として、「社内の啓発・教育」「セキュリティ予算の確保」などが上位になっています。
日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査報告書(2007年度版)」では、2007年における個人情報漏洩事件について、漏洩媒体比率(件数)では紙によるものが40.4%、USBメモリなどの可搬記録媒体によるものが12.5%であり、これだけで全体の過半数になっています。
また、漏洩原因比率(件数)では、紛失・置忘れが20.5%、管理ミスが20.4、誤操作が18.2%など、盗難が16.6%など不注意や過失による漏洩が多くを占めています。
情報システムのトラブルでも、利用者が原因になることが多くあります。ここでは、経営者にポピュラーではない例を掲げます。
- 裏口からの侵入
エンドユーザが非公式にインターネットに接続していることを裏口といいます。ほとんどの社員は個人でインターネットに加入しており、インターネットに接続するのは簡単です。正規の接続環境での応答速度が遅いとか、手続きが煩雑で制約が多いようなときに、裏口を作りたくなるものです。
しかし、裏口を作るときに万全なセキュリティ対策を講じることはないでしょう。インターネットからの侵入では、裏口から侵入してくることも多いのです。しかも、裏口の存在をネットワーク管理者が発見するのは、かなり困難なのです。
- ソーシャルエンジニアリング
社員のメールアドレスとパスワードを知れば、その人になりすまして不正アクセスできます。メールアドレスは名刺などに印刷してあるので、パスワードだけを知ればよいことになります。それには、ソーシャルエンジニアリングという手口があります。
適当な社員で接触して、情報セキュリティ管理者の所属と名前を聞き出します。そして、メールアドレスを知っている相手に、管理者のふりをして電話をします。「あなたのデータが一部壊れた。こちらの責任なので自分が復旧する。それにはあなたのパスワードが必要だ」などといって聞き出すのです(実際には手の込んだ手口を用います)。
これを防ぐには「管理者といえども他人のパスワードを聞くことはない」ことを徹底しておく必要があります。
- 共通アドレスは危険
パソコン不足あるいは仕事の都合により、ユーザID(メールアドレス)を共同利用する場合があります。通常は、メールアドレスとパスワードは対になっているので、パスワードも共通になります。本来、パスワードは頻繁に変えるべきなのですが、勝手に変えられません。パスワードを書いたメモをパソコン近くに貼ってあり、来訪者や掃除人に知られてしまうことがあります。
情報システムは、ユーザIDで利用者を識別します。内部犯行が起こっても対象者が複数だと追及が困難になります。
- データの誤入力
証券会社の担当者が「60万円の株を1株売る」のを誤って「1円の株を60万株売る」と入力したために、大騒ぎになったことがあります。誤入力を防ぐために、情報システムでチェックする必要があります。しかし、「60万株を1円で」が不自然なのは誰でも気づきますが、「6万株を10円で」が不自然であるかどうかは担当者でないとわかりません。システム開発に担当者が積極的に参加することが必要なのですが、それが不十分なことが多いのです。