情報漏えいの原因は、サイバー攻撃のみならず、内部の人間による意図的な行為や意図しないミスによるものも多い。さらにここ数年脅威が増している標的型攻撃では、攻撃者が内部の人間のミスを誘発し、情報漏えいを引き起こすような手口も使われている。このような現実に対して、従業員による情報漏えいを防ぐために日本企業は何を最優先にすべきか、サイバー大学の准教授 園田道夫氏に話を聞いた。

園田道夫氏が講演を行う「本当の優先順位を探る!マルチデバイス時代の情報漏洩対策セミナー」の申し込みはこちら
(参加費無料、3月5日水曜日開催、東京・竹橋)

ルールを徹底しきれない日本人の“緩さ”

園田氏は、内部的な要因による情報漏えいを防ぐことの困難さについて次のように言及する。

サイバー大学IT総合学部准教授 独立行政法人情報処理推進機構研究員 園田道夫氏

「最近の情報漏えい事件を見ていると、外部からの攻撃によるものもありますが、内部の人間が組織のルールに反して情報を漏えいしてしまう事件が目立ちます。情報のアクセスに対して制限をかけてたとしても、利害関係が存在する組織の中では、どんなに厳しいルールを設けたとしても曖昧にされてしまいしまいがちです」(園田氏)

また、入念な対策を施したとしても、ルールの遵守を徹底できていないようなケースも多々ある。これではルール違反を検知できず、ルール自体が無力化してしまうことになる。

「セキュリティに関して言えば、このような人間的な“緩さ”が日本企業の弱いところではないでしょうか。欧米の企業では性悪説が主流です。従業員を信用せずにルールをつくり、そのルールを徹底的に守らせます。守れなければ即クビなんてことも珍しくありません。これに対して日本企業の場合、“ルールよりも人と人との関係が大事”という意識になりがちで、内部の人間の場合は無条件に信用してしまうことがありがちです。残念ながら、悪いことをする人はそのような甘さにつけこんで来るものなのです」(園田氏)

日本人の優しさを生かしたセキュリティ強化法もある

では日本企業でも、ルールを徹底させた“欧米流のセキュリティ”を浸透させればよいのだろうか──園田氏の答えは「NO」だ。

「欧米で一般化しているような厳しいセキュリティ・ルールのテンプレートをそのまま持ち込んでも、日本のカルチャーには合わないでしょう。従業員の間に『なぜそこまでやらなければいけないのか?』という抵抗感が生じるはずです。結果としてルールを徹底しにくくなったり、事故に気づきにくくなったりしてしまい、むしろ情報漏えいの原因になりかねません」(園田氏)

そこで園田氏が提唱するのが、日本の文化に馴染みやすい“血の通った”セキュリティ対策である。それにはまず、現場の気持ちをしっかりと汲んだルールづくりが求められる。

「人間がミスを起こしてしまうのはある意味仕方のないことですから、ミスを起こしにくくするような仕組みにしておけばよいのです。しかし、ルールをつくる際に現場のニーズをきちんと把握していない例が目立ちます。例えば、どうしても家で仕事をしなければいけない状況なのに、一切の仕事の持ち帰りが禁止されているといったことです。そうなると、真面目に仕事をする人であればあるほど、止むに止まれずこっそりと情報を社外に持ち出して家で仕事をすることを繰り返すことになります。そのうち、うっかりとしたミスから情報漏えいが起きてしまうのです。このような事態を防ぐには、会社がしっかりと現場の声に耳を傾けて、その声を圧殺することなく技術的な対策を施し、家でも安全に仕事ができるような環境を整えるべきなのです」(園田氏)

ここ十年以上の間、「グローバルスタンダード」への指向は強くなる一方にある。とりわけITの世界ではそれは絶対的とも言えるほど信奉されてきたと言ってもよい。しかし園田氏は、少なくともセキュリティの世界については“脱グローバルスタンダード”のあり方を模索すべきではないかと問いかけている。

「気質が穏やかな日本人には、同僚を信用しないような殺伐とした空気にはおそらく馴染めないでしょう。であれば、皆と仲良くしながら、その中で洗練された安全性を目指すというやり方があってよいのではないでしょうか。『すぐにクビを切ることができる企業のセキュリティ』と、『家族的なつながりのある企業のセキュリティ』とでは、自ずと異なって当たり前だと思います。もちろん、一人に権限を集中させて誰もチェックできなかった…といったことにならぬよう、そこは欧米的に経営層が権限分散のルールを明確に設けるなど、力関係をうまく生かす必要があります」(園田氏)

信頼されればされるほど、信頼を裏切らないように努めようとするのも、日本人的な心情だ。その心情をセキュリティ向上に生かそうというのが、園田氏の言う“血の通った”セキュリティの本質なのかもしれない。では、日本型の新しいセキュリティを実現するために、企業はどのように変わる必要があり、またどのような技術を用いればよいのか──その具体的な内容は、3月5日(水)に開催される『本当の優先順位を探る!マルチデバイス時代の情報漏洩対策セミナー』での園田氏の講演、『情報が漏洩するとき』で示される予定だ。日本企業のセキュリティに対する考え方に一石を投じる貴重な機会となるであろう。

園田道夫氏が講演を行う「本当の優先順位を探る!マルチデバイス時代の情報漏洩対策セミナー」の申し込みはこちら
(参加費無料、3月5日水曜日開催、東京・竹橋)