「抑止力」は情報漏洩対策の本命か

http://itpro.nikkeibp.co.jp/article/OPINION/20060502/236966/

Winnyを使って情報が漏洩しているほとんどのケースでは、使われているのは私物のパソコンである。社内ルールで機密情報の持ち出しを禁止していても、業務上、社外に持ち出さなければならない事態は発生しうる。会社で仕事が終わらなければ、自宅で続きをやりたい、という気持ちが生じることは、誰にでもある。そのすべてをセキュリティ・ツールでコントロールするのは難しい。教育を徹底しても、その効果には限界がある。そんな状況で、「すべてを記録されている」という意識が働けば、持ち出しを思いとどまるのではないだろうか。



　どんなに高度なセキュリティ・ツールを導入しても、最後に軽率な行為、不正な操作をするのはユーザーである。これまでは、そのユーザーに直接的に働きかける情報漏洩・不正対策は、教育しかなかった。しかし、ユーザーへの直接的な働きかけの手段として、ユーザー本人に自制を促す「抑止力」を新たに加えることで、対策はいっそう強固なものになるのではないか、と筆者は考える。

まぁ、おおむね同意かな。

でも、その「記録を管理する人」や、その「不正操作をチェックする人」自身の、その管理している組織の不正は、どうするの？

例えば、役員クラスが違反をしたとして、それをきちんと「違反は止めてください」と注意できるの？

社員クラスに対しての抑止力にはなると思うけど、より重要な情報にアクセス可能（かつ、社内ルールを作る側）な人たちへの抑止力は、どのように発揮すれば良いんだろうか。

あたしが直面した問題も、そこにあったのです。

「一番守らなければいけない組織のトップがルールを守っていない」という事態。しかも、注意しても守ろうとすらしない。

そして、もう一つのルール、「組織内の情報を（同じ社内であっても）外部に漏らしてはいけない」というルール。

・・・「守っていない」ことを、他の部署に報告・相談する事ができない、というコンフリクト。それが、あたしの心を壊し、「うつ」という状態を引き起こしました。

このような、巨大な人的セキュリティホールをどのようにすべきか。

・・・一応、会社としての回答を、今週もらう予定です。