「抑止力」は情報漏洩対策の本命か
http://itpro.nikkeibp.co.jp/article/OPINION/20060502/236966/
まぁ、おおむね同意かな。
Winnyを使って情報が漏洩しているほとんどのケースでは、使われているのは私物のパソコンである。社内ルールで機密情報の持ち出しを禁止していても、業務上、社外に持ち出さなければならない事態は発生しうる。会社で仕事が終わらなければ、自宅で続きをやりたい、という気持ちが生じることは、誰にでもある。そのすべてをセキュリティ・ツールでコントロールするのは難しい。教育を徹底しても、その効果には限界がある。そんな状況で、「すべてを記録されている」という意識が働けば、持ち出しを思いとどまるのではないだろうか。
どんなに高度なセキュリティ・ツールを導入しても、最後に軽率な行為、不正な操作をするのはユーザーである。これまでは、そのユーザーに直接的に働きかける情報漏洩・不正対策は、教育しかなかった。しかし、ユーザーへの直接的な働きかけの手段として、ユーザー本人に自制を促す「抑止力」を新たに加えることで、対策はいっそう強固なものになるのではないか、と筆者は考える。
でも、その「記録を管理する人」や、その「不正操作をチェックする人」自身の、その管理している組織の不正は、どうするの?
例えば、役員クラスが違反をしたとして、それをきちんと「違反は止めてください」と注意できるの?
社員クラスに対しての抑止力にはなると思うけど、より重要な情報にアクセス可能(かつ、社内ルールを作る側)な人たちへの抑止力は、どのように発揮すれば良いんだろうか。
あたしが直面した問題も、そこにあったのです。
「一番守らなければいけない組織のトップがルールを守っていない」という事態。しかも、注意しても守ろうとすらしない。
そして、もう一つのルール、「組織内の情報を(同じ社内であっても)外部に漏らしてはいけない」というルール。
・・・「守っていない」ことを、他の部署に報告・相談する事ができない、というコンフリクト。それが、あたしの心を壊し、「うつ」という状態を引き起こしました。
このような、巨大な人的セキュリティホールをどのようにすべきか。
・・・一応、会社としての回答を、今週もらう予定です。