企業の中で、社員による情報漏えいが相変わらず頻繁に起こっているようだ。こうした状況を受け、内部統制のニーズが一段と高まっている。セキュリティシステムで外部からの脅威を防いでも、内部の違法行為を防げなくては意味がないからだ。とくに、最近では権限のある管理者などによる不正行為の事件も発生している始末だ。事件を起こした企業は、信用失墜といった大きなダメージを受けることになる。企業防衛の観点から、“人”のぜい弱性を抑える必要があることになる。こうした状況をセキュリティベンダー側からみれば、ユーザー企業に最適な製品・サービスを提供するチャンスが到来していることは明らかだ。

“人”のぜい弱性を抑えるべき

莫大な顧客情報が流出　権限もつ管理者が不正に走る

　最近の情報漏えいで最も大きな事件といえば、三菱UFJ証券による顧客情報の流出だ。元社員が128万6651人の顧客情報を不正に取得し、そのうち約5万人分の顧客情報を名簿業者に売却した。元社員が売却した名簿業者数は3社だったものの、名簿業者それぞれが転売を重ねたことにより、顧客情報の漏えいは膨大に広がったということで注目を浴びた。

　大きな事件を引き起こした三菱UFJ証券は、計り知れないダメージを被ることになる。実際、同社の証券口座を閉鎖して他社への移管を希望する顧客が現れているようだ。顧客からの信頼が失われた結果、業績が悪化するといった打撃を受けるほか、信頼を取り戻すために莫大なコストや時間を要することは間違いない。

　この事件で特筆すべきは、不正を働いた元社員というのがシステム部の部長代理だったことだ。顧客情報にアクセスするIDやパスワードの管理に関して、権限をもつ社員が不正に手を染めたわけだ。実際は権限をもたない社員であっても不正を実行できたのかもしれない。いずれにしろ、データの参照権限を定義して管理するアクセスコントロールが不十分だったということを表している。

　このような大きな事件を引き起こしたのは、三菱UFJ証券のシステム管理がずさんだったことを物語っている。同社のデータへのアクセスコントロール体制が不十分だったという事実に照らせば、ほかの金融機関も同レベルのセキュリティ体制とみられても仕方がない。ガードが堅いはずの金融機関でさえこの程度だから、一般オフィスでも十分に対応してない可能性は大きいと想像できる。このような事件が起こらないように、IT業界をあげてシステムのセキュリティ強化を訴えることが重要なテーマになるだろう。

最適な製品機能をアピール　新製品に関する情報提供も

　情報漏えいを防ぐために企業がITシステムを強化しなければならないということは、セキュリティメーカーにとっては情報漏えい防止に向けたセキュリティ関連の製品・サービスを提案していくことの必要性につながる。自社製品の機能性を正しく伝えていくことが、ユーザー企業に最適なシステムを導入させる道となる。

　セキュリティメーカーのなかには、ログ取得機能とログ閲覧権限、設定変更権限が分離され、コンソール利用者の不正操作や業務外のログ閲覧を禁止する製品を提供しているケースも出てきている。管理者の権限として、「システム管理者」と「ログ管理者」を設けるといった職務の分掌で、システム部門の社員が不正を働いたといった三菱UFJ証券のような事件を引き起こさないようにする。企業内に散在する個人情報と機密情報を自動的に管理できる製品も市場投入されている。また、最近ではユーザー企業が自社に適した製品を選定できるように、製品機能のロードマップを積極的に告知するようになったセキュリティメーカーも出てきている。

　以前は保険的な意味合いだったセキュリティ製品が、今では重大な事件を引き起こさないためにも「導入しなければならない」といった意味合いになっている。日常業務に支障をきたさないため、なくてはならない存在になったセキュリティ製品を、ユーザー企業に対していかに的確に提供していけるか。その解は、ユーザー企業が頭を悩ます課題を解決できる機能をメーカーサイドで開発していくことにある。また、多くのメーカー製品を担ぐ販社は、適切な製品を提供していくことに加え、直接アプローチしていることを強みにユーザー企業の声を吸い上げて最適なソリューションを創造していくことが、ユーザー企業に大きな事件を引き起こさせない必須の条件となる。


★次のページからは各社のソリューション

エムオーテックス/クオリティ

[次のページ]