ITmediaで人気の高い「ディルバート」で4月17日に掲載された「上司に予算を承認させる方法」を拝見した。実は、昨年頃から「情報セキュリティ予算の承認をとりやすくする方法」に注目していたからである。今回はディルバートをヒントに、「情報セキュリティ編」としてお届けしたい。
●セキュリティに金はかけたくない
最近少しずつ景気が上向いてきたという経済記事に対して、まるで背く様にどん底に近い状況となっているのが、中小企業を中心とした「情報セキュリティ予算」だと感じている。
ある製造業のセキュリティ担当者は、「経営者から『セキュリティという訳の分からないものに貴重な予算を割けることはできない。最低限として必要な経費以外はダメだ』といわれ、それを説得したいが全くできなかった」と嘆いていた。
また、ある中小の金融機関の担当者は「金融業だからセキュリティを強化できると思ったら大きな間違い。経営側から前年比28%のコストカットを申し渡された。今後の対応として最低でも15%、できれば22.5%の増額が必要だと事前に役員たちへ根回ししたにもかかわらず無視された。これじゃ最低レベルの対応すらできない。どうすればいいんだ」と話していた。
筆者も銀行員時代に自分の企画が通らず、彼らのように上司を責めていた側であった。このギャップはどうしてなのか……。この疑問に間接的に答えたのが、IPAが発行した「組織内部者の不正行為によるインシデト調査報告書」である。
内部犯罪防止は筆者の専門の1つであり、20年以上この作業に携わっている。2年前に発行されたこの報告書の内容は、ほとんどが既知の情報だが、その中に極めて興味深い内容が記されていた。それは「内部不正への気持ちが低下する対策に関する社員と経営者・管理者の意識のギャップ」というものだ。
ここで最も注目すべき内容は、社員の立場から「こういう対策があると内部不正の犯罪をしたくなくなる」と挙げられた第1位の「社内システムの操作の証拠が残る」である。実に54.2%という圧倒的な回答だ。ところが、この点について「経営者・管理者」の立場で挙げた人はなんと0.0%である。これは筆者にとっては全くの想定外だった。
多くの企業で一般の社員は時間をかけて管理職に昇進していく。筆者は、一般職の時に感じたことを管理者になっても忘れるはずがないだろうと考えていた。ところが、実際はどの企業でも「部長になったら急に言う事が変わる」というケースがかなり多い。
筆者は企業にコンサルティングを行う際、よく「『自分が犯罪者なら』という視点や思考でセキュリティを見直しなさい」と忠告している。IPAの報告書をみても分かるように、内部犯罪におよぶ人間は「社内システムの操作の証拠が残る」ことを嫌う。犯罪がスムーズに行われたとしても、証拠(ログ情報や監視カメラなど)によって自分が犯人だと特定されるのを恐れるからだ。ところが、管理者や経営者は社員が恐れる対策を誰ひとりとして考えていない。
それはなぜか。あるコンサルティング会社で主任の社員が上司に、セキュリティ対策強化の企画書を提案したケースを紹介しよう。
●見た目が勝負
コンサルティング会社の主任は、ログの取得強化と改ざん防止策の企画書を部長に提出した。すると部長はこう返事をした。
「こんな事で80万円も使うのか……。本業にどう貢献するの? 情報漏えいの防止というなら分からなくもないがね。本業で80万円の利益を稼ぐのに、君はどのくらい営業が苦労しているのか知っているのかね?」
さらに部長はこう続けた。
「グループ企業やマスコミに説明できる対策ならいいね。例えば『限定された人のみがアクセスできなくなる』なんてどうかね? 役員が指紋認証で入室できるようにするとか格好が良い。マスコミ受けもするはずだ。それなのに、ログ強化なんて誰が興味を持つのかね」
そういって、その場で企画書を主任に突き返したのである。
セキュリティ対策を考える時には現場の視点、犯罪者の視点でもって検討することが非常に大切である。しかし、その視点のままで企画書を作成してもダメだ。上述のケースはその最たるものだろう。つまり、“お客様視点”で考えることも必要になる。
上述のケースに当てはめれば、主任にとっての“お客様”とは部長であり担当役員なのだ。彼らの視点で企画書を記載しなければ、主任が必要と感じている本当のポイントが通らなってしまう。
どのようにすれば記載すべきか。それはIPAの報告書にある「管理者・経営者の効果があると思う対策」である。支持が7%以上の上位6つは次の通りだ。
1. 開発物や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている
2. 情報システムの管理者以外に情報システムへのアクセス管理が操作できないようになっている
3. 社内システムにログインするためのIDやパスワードの管理が徹底されている
4. ネットワークへの利用制限がある
5. 開発物や顧客情報などの重要情報にアクセスした人がアクセスログなどによって確認されるようになっている
6. CDやUSBメモリなどの外部記憶媒体への書き出しや持ち出しが制限されている
ちなみに「社員の効果があると思う対策」は次の通りである。
1. 社内システムの操作の証拠が残る
2. 顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視などを含む)
3. これまでに同僚が行ったルール違反が発覚し、処罰されたことがある
4. 社内システムにログインするためのIDやパスワードの管理を徹底する
5. 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する
6. 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない
7. 社内の重要な情報を暗号化する(社内の重要な情報を誰もが閲覧できない)
管理者・経営者が考えている対策とは、とても大きな差がある。
●上司を納得させる工夫
筆者はある企業にダメ元で提案をした。それは「本来これだけは実施したい」という案件と、管理者が好みそうな案件を混在させ、「情報セキュリティ強化策2014年上期版」として企画書を記載してはどうかというものである。
例えば、中小企業の多くは「ログ採取」の段階で立ち止まってしまう。筆者はいつも「採取だけでは意味がない」とお伝えしているが、経営者はそう感じていない場合が多い。採取したログを常に分析・解析して、犯罪行為や犯罪予備行為を早く認知することに活用すれば、被害の拡大防止につながる。
このことを主目的として企画書を作成する場合、まず目立つような場所に「実担当、管理者・役員以外は入室不可とする個人認証装置の導入」と記載する。個人認証装置といってもピンキリだが、素人受けするスマホの機能を使った認証システムなら、単体では数万円で導入できる。一応ログも収集する。役員には「スマホをお貸しください。登録すると、このスマホを持つ役員だけが入室可能になります」と提案する。その様子を目にすれば、役員はほぼ100%満足するはずだ。
ログ分析・解析を主目的とした企画書なら、そうすることで役員に承認され、その企業のセキュリティの向上も期待できる(個人認証もある程度は貢献するだろう)。
なお、筆者がダメ元で提出したこの企画書は見事承認された。その後、この成果かどうなった検証できない立場なのが残念である。
現場の担当者が自身の正義感を貫こうと頑固に主張したところで、担当者の“お客様”にはその正義感が「あなたのわがまま」にしか映らない。うまく権限者を巻き込むように工夫したい。上記の場合なら、「部長や役員のスマホで個人認証が可能となります」とひと言加えるだけで、担当者の目指す企画が通る可能性が高まる。結局それは企業にとっても、とても良い企画であることには変わりがないはずだ。
こうした工夫は情報セキュリティ以外の分野でも同じかもしれない。
●萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
