転職の手土産に｢社内情報を抜く｣社員の危うさ 不正の証拠収集は｢共通アカウント｣では難しい

その監査結果はみなで共有して、セキュリティ意識を組織全体で高めていくのがよいと思います。効果が上がってくれば第三者による外部監査に切り替え、ISMSやPマークなどの認証につなげていくことで、対外的にちゃんと対策していることをアピールできるようにもなりますよね。

異変を報告した社員は｢怒らずに褒める｣

――全社的に取り組む姿勢が伝わると、社員の意識も変わりそうです。

こうした取り組みを増やすと、社内外に「うちの会社はセキュリティにかなり気をつけている」と周知されます。

情報処理推進機構の「組織における内部不正防止ガイドライン」では、内部不正防止の基本5原則を挙げていますが、「不正の機会を与えない」「出来心を起こさせない」ことは、不正の抑止と社員の保護につながります。

――社内風土の醸成も、組織全体のサイバーリテラシーを向上させるうえで重要なのですね。

社員から「やらかしてしまったかもしれない」と報告されたとき、怒るのは厳禁です。むしろ褒めてあげてください。そうでないと、社員を守るためのセキュリティ体制とは言えません。

実際、パソコンが明らかに不審な挙動をしているのに本人は何も言わず、情報システム部門のアクセス監視でウイルス検知に至った例はいくつもあります。

インシデントの早期発見は非常に重要です。不始末で火事を起こしても、ボヤのうちに通報すれば大事になりません。パソコンに表示される怪しい「〇〇サポートセンター」に連絡してしまう前に、いち早く自分の会社に報告できるような風土を作ってほしいです。

もはやデジタル環境がなければ、仕事ができない時代です。デジタル・フォレンジックがしやすい環境があれば、万が一の際の調査・分析のコストも下げられますので、情報が追跡しにくくなっていないか、また社員一人ひとりが異変を報告しやすい体制かどうか、今一度見直すとよいのではないでしょうか。

東洋経済Tech×サイバーセキュリティのトップページはこちら

著者フォローすると、高橋秀和さんの最新記事をメールでお知らせします。