- 目次 -
あるECサイトの事例
あるインターネット ショップの事例をご紹介しましょう。そのサイトは、商品のユニーク性と設立当初からの緻密なプロモーション戦略の結果、小さな組織ながら売上は急上昇し、 好業績をあげていました。システムとしてはASPを利用しており、自社でシステム運用を直接抱えない体制をとっていました。
そんなな か、このショップの社長は、相次ぐ個人情報漏洩の事件を耳にし、自社の情報セキュリティリスクに不安を感じるようになりました。売り上げの上昇とともに会 員登録数も増えていたからです。
同社内には情報セキュリティに関する知識がほとんどないため、社長は専門のコンサルタントに自社の情報 セキュリティレベルの診断を依頼しました。その時点で顧客情報は5万人程度保有していましたが、診断の結果、「社内体制に大きな問題があり、このまま放置 しておくと危険」と指摘されてしまいました。
企業における最大の セキュリティホールとは
この企業の場合、システムはASPを利用しているので、システムそのものの脆弱性やサーバーのウ イルス対策については、あまり気にする必要はないかもしれません。
しかしそれでも、「社内体制が問題である」と 指摘されました。これは例えば、システムの管理者IDでログインできる社員を限定していない、顧客情報が記録されたファイルは社員なら誰でも見ることがで きる、どの情報が重要なのか社内に共通認識がない、など多くの状況から見て取ることができます。
どんなに堅牢なITシステムを使ってい ようとも、それを扱う人の管理ができていなければ、そこが抜け穴になります。同社はこれを指摘されているのです。つまり、ITシステムに おける最大のセキュリティホールは「人間」であるということを、まず認識する必要があるのです。
だからこそ、ITを 活用するなら(たとえそれがPC1台でも)、まず最初に行わなければならないのは社内ルール作りです。
ITシステムと情報セキュリティ対策はセットで検討
社内ルール(またはセキュ リティポリシー)は、まず社内でどのような重要情報資産を抱えているのかを洗い出し、それをどう守るかについて、物理的・人的・技術的な対策をそれぞれ立 案して作成します。このなかには、「違反すれば必ずばれる仕組み」と「見つかれば罰則があること」を 盛り込むことが重要です。もしあまりにも守るべき対象が多いなら、まずは「個人情報」に絞って対策を考えるのが無難でしょう。
このルー ル作りは、必ず経営主導で行います。ドラフト作成は担当に任せるとしても、そのルールは経営者の承認の下に経営者が社内に配布しなけれ ばなりません。仮に一担当者が配布すれば、重要性が伝わらなくなるためにそのルールはかなり高い確率で守られません。
そして、IT システム構想時は、この社内ルールに則って情報セキュリティ条件を要件化します。上記の事例のようにASPを利用する場合なら、社内 ルールの遵守が可能であることがその選定要件になります。対応に費用がかかるものがある場合は、それが自社として実施すべき対策ならしっかり投資するべき でしょう。
これまで報道されている大企業の情報漏洩事件の多くで特徴的なのは、それが内部犯行であること、またデータが不正に取得され た時期が2000~2002年前後という、企業のセキュリティ意識がまだあまり高まっていない頃であることです。
先日、800万件を越 える個人情報が漏洩するという大きな事件がありましたが、これも実質的な内部犯行(業務委託者による犯行)であり、データの外部書き出しが関係者の誰でも 実施できたことが大きなセキュリティホールとなりました。とにかく『一日でも早く社内体制とルールを作り、実行や改善をすることが大事で ある』と、さまざまな事件が教えてくれています。
