転職の手土産に「社内情報を抜く」社員の危うさ 不正の証拠収集は「共通アカウント」では難しい

拡大
縮小

――パソコンは別々にしていても、SaaSなどのクラウドサービスを同じID・パスワードで使いまわしているケースは多そうです。

情報システム部門が関知しないところで各部門が独自に導入する「シャドーIT」の問題ですね。基幹システムの認証はしっかりしていても、末端で使うシステムなどの対策がいい加減な例は大企業でも見られます。外部サービスはアカウントを増やすほど費用がかかるため、複数人でアカウントを共有しがちですが、やはり1人1アカウントは大切です。

あとは、バックアップをこまめにとっておくという対策です。ファイルやデータベース、ソースコード、通信のログなどを随時保存しておくと、不正の特定がしやすくなります。経理不正は経理台帳だけを見ていても駄目で、誰がどういじったのかを追う必要があります。

1年に1部門ずつ「セキュリティ監査」の実施を

――通信ログを残すことを息苦しく感じる社員もいるかもしれません。どう説明するとよいでしょうか。

これは昔から起きている議論で、「仕事ぶりをずっと監視されている」と受け取られたり、「労働強化だ」と反発する労働組合もあります。

しかし、通信ログを常時チェックする必要はないわけです。インシデントが起きたとき、社員が関わっているのかいないのかを確認するのが目的ですから、社員を守るための策とも言えます。「勤務状況を把握するわけではなく、普段は確認もしない。有事に原因を調べるためにやっている」と伝えてください。

――バックアップはどのくらい残しておけばいいのでしょうか。

あまり長期間保存すると、コストパフォーマンスが落ちるのは確かです。目安としては、税金関係書類の保存期間(国税関係帳簿は原則として7年間の保存が義務付けられている)です。また万が一、査察いわゆる「マルサ」を受けた場合に調査される資料は原則5年分ですから、経理や会計の不正をチェックするなら意識したいところです。

その他、リスクが高い部分のセキュリティを強化するのも有効です。「お金になる」ことが知られている顧客情報(名簿)や、特許などの知的財産周りには、まずは内部で「セキュリティ監査」を行うことをおすすめします。1年に1部門ずつ実施して、まずは5~6年で1周程度のペースで考えてください。

関連記事
トピックボードAD
ビジネスの人気記事
トレンドライブラリーAD
連載一覧
連載一覧はこちら
人気の動画
【田内学×後藤達也】新興国化する日本、プロの「新NISA」観
【田内学×後藤達也】新興国化する日本、プロの「新NISA」観
TSUTAYAも大量閉店、CCCに起きている地殻変動
TSUTAYAも大量閉店、CCCに起きている地殻変動
【田内学×後藤達也】激論!日本を底上げする「金融教育」とは
【田内学×後藤達也】激論!日本を底上げする「金融教育」とは
【田内学×後藤達也】株高の今「怪しい経済情報」ここに注意
【田内学×後藤達也】株高の今「怪しい経済情報」ここに注意
会員記事アクセスランキング
  • 1時間
  • 24時間
  • 週間
  • 月間
トレンドウォッチAD
東洋経済education×ICT