サイバーセキュリティの盲点は｢人の脆弱性｣だ　“心理学”を考慮したリスクマネジメントの新常識 サイバー攻撃なくとも情報漏洩が起きる理由

ヒューマンエラーを直接の作業者等の問題と考える傾向が強いが、利用環境の確認が必要だ。例えば、作業場所が、内外部の人たちの出入りが頻繁で、声を掛けられると作業の中断が必要となる。あるいは、部屋が暗く文字の判別に苦労するなども、ヒューマンエラーの原因になる。

昔、セキュリティベンダーの営業管理職と話をしたことがあるが、ある大企業のシステム部長に「当社に企業貢献度が低い社員はいない。セキュリティ製品は不要」と言われたという。

しかし、セキュリティ製品は、内部不正や違法行為を見つけることだけだろうか？ 不正を行っていないことの証明にもなるのではないか。実際、以下のような例が多々ある。

◯情報漏洩の犯人は？

情報漏洩があり、調査をしたが、20人までしか絞ることができなかったと親会社のCEOが記者会見で述べた。20人すべてが同一ユーザIDを使っていたが、全員が犯人とは思えない。個別IDであれば、事件は起こらず、起こっても、犯人を絞れたであろう。

◯一人に重要業務を任せない

環境の変化で不正・犯罪が発生するため、「性弱説」や監査のあり方を考えてほしい。以下をはじめとする多くの事案が発生している。

● 犯人は行員「貸金庫の巨額窃盗事件」： 2組の鍵を一人の社員が管理。

● 大和銀行NY支店の巨額損失事件：嘱託行員が「債権取引」で赤字を出し、解雇を恐れて簿外取引を行った。結果、大和銀行はアメリカから追放された。考えてほしいのは、取引は相手がおり、行内の顧客取引明細書と相手の明細書が同一であれば問題はないが、異なっていれば、不正処理の可能性がある。監査の基本であろう。

多くの事例で感じるのは、「性善説」を前提としており、社員を信じていた。適切な管理をしない結果、多額の損失を被ったわけだ。ここから、業務遂行者へのセキュリティ教育・訓練の重要性がうかがえる。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、内田 勝也さんの最新記事をメールでお知らせします。