サイバーセキュリティの盲点は「人の脆弱性」だ “心理学”を考慮したリスクマネジメントの新常識 サイバー攻撃なくとも情報漏洩が起きる理由

著者フォロー
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小

ヒューマンエラーを直接の作業者等の問題と考える傾向が強いが、利用環境の確認が必要だ。例えば、作業場所が、内外部の人たちの出入りが頻繁で、声を掛けられると作業の中断が必要となる。あるいは、部屋が暗く文字の判別に苦労するなども、ヒューマンエラーの原因になる。

昔、セキュリティベンダーの営業管理職と話をしたことがあるが、ある大企業のシステム部長に「当社に企業貢献度が低い社員はいない。セキュリティ製品は不要」と言われたという。

しかし、セキュリティ製品は、内部不正や違法行為を見つけることだけだろうか? 不正を行っていないことの証明にもなるのではないか。実際、以下のような例が多々ある。

◯情報漏洩の犯人は?

情報漏洩があり、調査をしたが、20人までしか絞ることができなかったと親会社のCEOが記者会見で述べた。20人すべてが同一ユーザIDを使っていたが、全員が犯人とは思えない。個別IDであれば、事件は起こらず、起こっても、犯人を絞れたであろう。

◯一人に重要業務を任せない

環境の変化で不正・犯罪が発生するため、「性弱説」や監査のあり方を考えてほしい。以下をはじめとする多くの事案が発生している。

● 犯人は行員「貸金庫の巨額窃盗事件」: 2組の鍵を一人の社員が管理。

● 大和銀行NY支店の巨額損失事件:嘱託行員が「債権取引」で赤字を出し、解雇を恐れて簿外取引を行った。結果、大和銀行はアメリカから追放された。考えてほしいのは、取引は相手がおり、行内の顧客取引明細書と相手の明細書が同一であれば問題はないが、異なっていれば、不正処理の可能性がある。監査の基本であろう。

多くの事例で感じるのは、「性善説」を前提としており、社員を信じていた。適切な管理をしない結果、多額の損失を被ったわけだ。ここから、業務遂行者へのセキュリティ教育・訓練の重要性がうかがえる。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。
内田 勝也 情報セキュリティ大学院大学 名誉教授

著者をフォローすると、最新記事をメールでお知らせします。右上のボタンからフォローください。

うちだ かつや / Katsuya Uchida

一般社団法人 日本セキュリティ心理学会 代表理事(https://www.ispj.or.jp/)。電気通信大学卒、中央大学大学院理工学研究科修了 博士(工学)、Harvard Kennedy School、 Cybersecurity: The Intersection of Policy and Technology (6Day) 修了。システム開発や構築、システム監査等を経験。中央大学「セキュリティ人材育成プロジェクト推進」、情報セキュリティ大学院ISMS、リスク管理講座担当。横浜市CIO補佐監、九州大学リカレント講座(セキュリティ心理学等)を実施。30数年にわたり、海外(主に 米国)で非セキュリティ技術のセキュリティ心理学の情報収集を実施。一般社団法人 情報システム学会 浦昭二記念賞 実践賞 受賞。著書に『セキュリティ心理学入門』、共著に『有害プログラム―その分類・メカニズム・対策』など。

この著者の記事一覧はこちら
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

関連記事
トピックボードAD
ビジネスの人気記事