読者です 読者をやめる 読者になる 読者になる

NJS Developers

日本情報システム株式会社の開発ブログ

何故情報漏えいするのか?情報セキュリティーについて考える

情報セキュリティ

みなさんこんにちは。日本情報システム株式会社 ICTソリューション部の鶴巻です。
先週までは、弊社エンジニアの進藤が多要素認証についてご紹介させていただきましたが、今週は進藤に代わって、私が、昨今のトレンドキーワードでもあるマイナンバー対策にも関わってくるであろう、情報漏えい事故についてご案内させて頂きます。

そもそも情報セキュリティについて考える

昨今ニュースでも個人情報が漏えいしたという記事をよく目にしますが、「なぜ情報漏えいしたのか?」という原因の部分まで深く説明されている内容は少ないのではないでしょうか?

大手公的機関からの情報漏えい事故も、コンピュータウィルスによってパソコンが攻撃されて個人情報が大量に流出したという説明が数多く見られますが、本当の原因は既に準備されている会社のルールに則った運用が適切にされていなかったこと、業務に携わっていた担当者が、自分の取り扱っていた情報が重要な情報であったという認識が希薄であったという、この2点に尽きるのではないでしょうか?

情報セキュリティを理解するためには、まず日々取り組まれる業務の中で大切な情報は何であるかを明確にするところからスタートするべきなのです。守るべき重要な情報が明確になったら、その情報をどのように守るのか?を考える。これが情報セキュリティの第一歩となります。

私は、企業セキュリティ向上の為のセミナーに登壇させて頂く機会が多々あるのですが、必ず説明する内容の一つに、業務に携わっている社員の情報セキュリティの意識(リテラシー)を高めることで高い費用を払って導入したセキュリティツールの効果を何倍にも高めることができるとご紹介させて頂いています。

情報漏えいの原因

セキュリティツールベンダである、シマンテック社のデータを下図に掲載していますが、日本の情報漏えいの約8割弱が、人的要因によるものであると説明されています。

裏を返すと、日本の情報漏えいの約8割弱と言われる人的原因に対策をすることで、ほとんどの情報漏えい事故は防げると言っても過言ではないという見方も出来るのではないでしょうか?

35%と言われている従業員の不注意とは、「そもそも重要な情報であるということを知らなかった」「作業ミス」が大半を占めており、42%に関しては意図的な犯罪であると説明されています。

アメリカの犯罪心理学者ドナルド・R・クレッシー氏が提唱した、不正のトライアングルによると、「動機・プレッシャー」「機会の認識」「正当化」この3点が揃うことで不正が行われると言われています。

グラフ

各項目の詳細に関しては、又の機会とさせていただきますが、 ドナルド・R・クレッシー氏は、上記3要素が揃った際に、人的不正が行われると説明しています。

情報セキュリティの第一歩として

色々と説明をしてきましたが、人的要因による情報漏えい対策を行なうことで、昨今世間を騒がせている情報漏えい対策の第一歩としては十分な効果が見込まれると私は考えています。

高額な情報漏えい対策ツールを購入するより、社員全員がどのような情報が社内で取り扱われており、自分の業務で係る部分はどこなのか?を理解してもらうことが実は情報セキュリティの第一歩なのではないでしょうか?

PAGE TOP