じっくり考える「情報漏えい発生の理由」(前編)
雇用形態の変化と情報漏えいの実態
宇崎 俊介
トレンドマイクロ株式会社
コンサルティングSE部 テクニカルSE課
情報セキュリティ シニアアナリスト
2009/5/29
情報漏えいはなぜ発生するのでしょうか。実は、雇用形態の違いによる要因も無視できないのです。本記事では、情報漏えいが発生する理由と、情報漏えい防止対策(DLP)の必要性を3回に分けて解説します(編集部)
情報漏えい事件の原因はどこから来るのか
従来、日本の企業で働く従業員は、高い愛社精神と帰属意識を持ち、企業も従業員を財産として大切に扱ってきた。だからこそ高度成長期には、多くの人々が滅私して長時間の労働を提供し、驚くべき経済の成長に貢献してきたのである。諸外国から「働きバチ」と呼ばれても、である。
ここで現在の雇用情勢を思い浮かべてほしい。読者諸兄は滅私して会社のための活動にまい進することができるだろうか。あまりの労働負荷に倒れたとき、企業はあなたを財産として保護してくれるであろうか。恐らく、傷病による戦線離脱者は早々に戦力外と見なし、雇用契約の解除、ないし見直しを図るという企業は少なくないだろう。
そうした現在の状況下で働く従業員が、会社にどの程度の帰属意識を持ち、どこまで会社の資産を大切に扱うかには疑問が残る。従業員はいつ何時不満を持って辞めていくかもしれないし、退職したあと、窮鼠(きゅうそ)猫をかむのごとく、会社に対して一撃を食らわせることだってあり得る。
ここでは、情報漏えい対策を考えるにあたり、普段あまり目を向けない「雇用形態の変化」という視点から、どのように情報漏えいの原因分析ができるのかを解説していきたい。
「情報管理」のスピードを追い抜く雇用形態の変化
従来、日本の企業は、性善説に立ち従業員を「人財」として育て、雇用を守ることによって、多くの高品質の労働力を得てきた。しかし前述のとおり、そのような企業と従業員との関係性はすでに崩壊している。労働者派遣法の盲点をついた雇用がみられたり、従業員の雇用形態が非正規中心になったり、期間限定的な労働力を積極的に雇用したりしている企業もある。労働者側も、スキルアップや収入のアップのために転職をすることが当たり前になってきている。これは企業の人とのひも付きが弱くなったことにほかならない。
この雇用形態変化を情報管理の観点からとらえると、企業の情報管理が“人依存ではなくなった”といえる。情報漏えい対策を行ううえでは、この雇用形態の変化を、企業が情報を管理する体制を変えるべき時期がきたという重要なサインとして認識すべきである。
実際にあった例をみてみよう。大手の印刷機商社のルートセールスなどを10年以上勤務した中堅社員が突然他社に転職した。その後、その社員にひも付いた顧客が軒並み競合他社に乗り換えを行い、会社として大きな損失を被ったというケースがある。金融系の企業でも、転職の際に得意客のデータやリストをコピーして持ち出すケースがあとを絶たないという。
しかしこれらの持ち出しのケースを実際に追及しようにも、確証がないこと、また不正競争防止法に該当するような重大な違法行為として認定されるに至らないことから、企業による原因追求は困難だ。
現在の雇用情勢を考えると、特定の人物に依存するシステムや情報管理は特に改めるべきである。なぜなら、その人物が来週には競合他社にいるかもしれないからだ。転職を行う人、退職をする人、そういう人に対して以後業務データとの接点をいかに持たせないか(持ち出させないか)という点は非常に重要である。
雇用形態と情報管理のミスマッチは、業務のシステム化の加速と人材教育とのバランスが崩れていることにも原因がある。業務をシステム化することはお金をかければできる。が、人材に対する啓発は一朝一夕には成り立たない。システム化ばかりが進み、誰がどう情報を管理するかという教育の部分はどちらかというと遅れてきていた。そういった企業では、いまそのツケを払わされているわけだ。
日本人は、アメリカ型の雇用のシステムを「ドライ」といって片付けてきた側面がある。繰り返しになるかもしれないが、いまの日本の現状を再度認識してみてほしい。ドライなのは企業だけではない、労働者もドライである。企業・労働環境を非常にシビアに評価しているし、自分の将来を自分で確立するために必死である。なぜなら、企業はもう自分たちを守ってくれないことに気付いたからだ。
「将来性に不安を感じる」「給与が安い」「上下関係がうまくいかない」といった理由で、従業員は簡単に転職する。転職先を紹介する情報サービスが充実し、大忙しな現状がそれを裏打ちしている。
1/3 |
 |
| Index | |
| 前編:雇用形態の変化と情報漏えいの実態 | |
 |
Page1 情報漏えい事件の原因はどこから来るのか 「情報管理」のスピードを追い抜く雇用形態の変化 |
| Page2 アメリカと日本:雇用形態の違いに見る情報漏えいのかたち |
|
| Page3 今後の雇用形態変化と情報管理 |
|
| Index | |
| 中編:情報漏えいが事業経営に与えるインパクト | |
| Page1 情報漏えい対策の実際 情報の価値は誰が決めるのか |
|
| Page2 情報漏えい時に被る財務的なインパクトの予測 |
|
| Page3 あるショッピングサイトを襲った情報漏えい事件の「費用」 |
|
| Index | |
| 後編:情報漏えい対策ソリューション、DLPとは | |
| Page1 「機密情報そのもの」を守るというアプローチ 重要情報の決め手は「情報の指紋」 |
|
| Page2 情報漏えい防止のための「もう1つの手段」として |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
