リスクマネジメント リスクマネジメント記事一覧へ

[これからの情報管理に必要な3カ条]

【条件3】管理者の“がん細胞化”を「生活改善」で防ぐ

2016年1月6日(水)髙岡 隆佳(ブルーコートシステムズ合同会社 データ・セキュリティ・スペシャリスト)

情報管理において、技術的な抑制・運用の徹底といった“足かせ”だけでは、管理者の負担だけが大きくなる。結果、業務効率が低下し、組織に対する不満から内部不正のリスクが高まる。免疫細胞として作用する管理者を“がん細胞”にしないためには、管理者のフォローが不可欠である。

 そもそも管理者が内部不正を働くきっかけはなんであろうか。犯罪機会論では、“理由と機会”が揃ったときに人は行動を起こすとされる。“理由”については当然、私的なものもあれば、場合によっては産業スパイ的なものもあるかもしれない。ただ現在の日本においては、ほぼ私的な理由で内部不正を起こす事件が大半である。例えば、次のようなケースだ。

 昇給も見込めず低賃金で残業を押し付けられ、有給も満足に消化できないような管理者。彼は以前から、自身が管理している個人情報を高値で購入してくれるサイトの存在を知っている。会社に対する不満とお金欲しさから、ある時、自らの行動を自分の中で正当化し、不正を働いてしまう。

国内の情報システムの半数は常に“機会”を提供している

 一方の“機会”については、現在の情報管理体系にあっては、大半の管理者が常に、その機会に直面している。データベース・セキュリティ・コンソーシアム(DBSC)が、日本でDB管理者業務に携わっている1000人を対象に2014年に実施したDB管理の実態調査では、データの権限管理やログ管理、暗号化といった対策項目について「未対処」という回答が5割ほどあった。つまり、少なくとも国内情報システムの半数は、いつでも重要情報を引き抜けるような環境にあるということだ。

 同調査ではさらに、管理者が不正を働くに十分な“理由”を持ち合わせていることも判明している。「将来、データベースに格納されている情報をこっそり売却するかも知れない」という質問に対し、「YES」に属する回答をした管理者が全体の1割、潜在票を含めれば2割以上に上る。私的な理由として挙げた先のケースは、そう珍しいことではないのである。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】人的・技術的な側面でのサポートは可能
  • 1
  • 2
バックナンバー
これからの情報管理に必要な3カ条一覧へ
関連記事

【条件3】管理者の“がん細胞化”を「生活改善」で防ぐ情報管理において、技術的な抑制・運用の徹底といった“足かせ”だけでは、管理者の負担だけが大きくなる。結果、業務効率が低下し、組織に対する不満から内部不正のリスクが高まる。免疫細胞として作用する管理者を“がん細胞”にしないためには、管理者のフォローが不可欠である。

PAGE TOP