|
 | 2004/2/16 |  |
情報セキュリティマネジメントシステムに取り組むにあたって、「性悪説」という話に正面から取り組むには大変な痛みを伴います。企業担当者の方たちとお話をさせていただく中でもこの話題となると、「こんな考え方は西洋的発想で、日本の企業文化には馴染めない」と、断言してはばからない方が多いので困ってしまいます。
そんな折、ある雑誌で面白い記事を目にしました。それは日本的な解釈として「性弱説」という考え方を広めたいというもので、人間とは元来弱いもので、簡単な操作で不正ができ、それがバレる危険が少ないとすれば、つい出来心で不正をしたくなってしまう。それを可能とする状況を放置しているということは、不正を犯すのをそそのかしているのに等しいという考え方です。
確かに機密情報に出会えば好奇心で見たくなるでしょう。業務作業がそれを可能とする状態であるとしたら、社員を誘惑しているとも考えられます。社員に対してセキュリティ対策をするのは、その様な誘惑の危険から社員を護るためであり、企業の責任なのだという「性弱説」という考え方なら共感される方も多いのではないでしょうか?
日本パープルのISMS認証基準およびBS7799取得は、IT関連企業でなくとも、セキュリティの保証と信頼に成り立つビジネスであれば、業種は問わず認証取得出来るという事を立証したわけですが、要求規格の主となっているITに関連するセキュリティ対策を、データ・セキュリティ・サービス業に置き換えて、規格を判断する段階では、例に漏れず「性悪説」に添ったセキュリティ対策が求められました。
|
現実に起きている情報漏洩事故を振り返ると、統計でも7割強が社内からの不正持ち出しという結果が出ているだけでなく、事故として扱われたケースでは、これも発生件数の7割が紙文書に代表されるアナログメディアによって流出しています。
そして最も重要なポイントは、情報漏洩の9割以上が、不正に利用されたり、人為的なミスでの事故が起こってしまった後に判明しているという点で、データや文書の取り扱いに関するログが残らない体制下で起こっているということなのです。
日本パープルでも、業務を国際標準規格にそったデータ・セキュリティ・サービスとするには、セキュリティが社員の意識とモラルによって維持されている箇所を取り除かねばならないという結論に対して、教育に惜しまず投資してきた姿勢を否定されたかのようにとらえたトップはショックを受け、社員からは「信頼に疑念を持つのか?」といった反発が出ました。しかし最終的には経営トップの決断で、性弱説≠あえて受け入れ、お客様からお預かりする文書は全て封緘された状態で、搬出、移動を行うという「全回収データプロテクター化」の方針に至ったのです。
この方針に基づいてプロジェクトを立ち上げたのが2003年3月、運用を開始したのが6月でした。ユーザーからは「これまで安全だと言ってきた方法を自ら否定するのか?」といった、意見も出たようですが、一方で以前から段ボール箱で回収を依頼されるユーザーに限って、シュレッダーも併用して使用している傾向はあったので、認証取得を機会に全文書を保護(まもる)くんで処理したいというお話も多かったようです。
改めて考えれば、段ボールのまま回収することに危機感を持たない会社に、機密性の高い文書を委ねる気にはならないという企業心理が働いて、シュレッダーにかけていたのかもしれません。
いくら「日本のオフィスからシュレッダーが無くなる日を目指す」と力んでみても、セキュリティの安全が保証され、正当に評価されない限り、機密文書の全面的な委託を検討しようというサービスたりえるものではありません。30数年提供してきたサービスを自ら否定することから始まり、セキュリティ精度の本質を究め、それを第三者に評価していただいたことは、改めてシュレッダーと比較していただけるテーブルについたと言えるのではないでしょうか。
|
結城 寛
潟Zキュリティクリニック 所長
「我が社も情報セキュリティについて評価されたいが、業種が違うのでどうかな?」と思われているなら、メールにて一度ご相談ください。今回の取得支援を通じて得た経験をアドバイスさせていただきます。
watabe@s-clinic.jp |
 |
 |
|
|
