情報セキュリティで考慮すべき範囲

先日のベネッセの漏洩事件を受けて、
社内での情報セキュリティのあり方について議論しています。

今まで外部からの脅威や
うっかりミス（USBメモリを紛失、メールの誤送信）を検討したのですが、

「悪意のある内部犯行者」については、深い議論がありませんでした。

システムに投資する予算も限られることもあるのですが、
社内の人間を疑う、というのはセキュリティ要件に含めるべきか悩んでおります。

皆様の会社ではいかがでしょうか？。
ご意見を頂けると助かります。

No.3 ベストアンサー 回答者： MNH10W 回答日時： 2014/08/31 18:12

>皆様の会社ではいかがでしょうか？

まず、業務に使用するパソコンはFD無し、CD/DVD-ROMドライブのみの機種
私物のパソコン、USBメモリ等のメディア、スマートフォン、デジカメを社内ネットワークに接続することは禁止
（接続すると確認のアラートが表示され、ログを採られている）
USBメモリは部署内でのデータ移動専用でパスワードを入力しないと書き込み不可
使用・返却時は記録簿に必ず記入し、上司が始業・終業時に使用状況と数量を確認。

人を疑うのではなく、動作・行動を制限すればいいと思いますよ。

No.2 回答者： kanstar#1 回答日時： 2014/08/31 17:05

まず、ベネッセ個人情報流出事件の犯人はベネッセには直接雇用はされていません。

但し、ベネッセはシステム運用の専門業務を行う子会社「シンフォーム」を設立しました。

「シンフォーム」はシステム運用を、さらに複数の外部業者に分散して再委託していた。
外部業者にはさらに外部に再委託し、その中の業者から派遣社員として従事していたのが当該犯人だったと言うわけです。

> 社内の人間を疑う、

なので、派遣社員だったので、社内の人間ではなかった。
但し内部の業務を行っていたので、内部犯行だったと言うわけです。

しかも、派遣社員にも関わらずにフルアクセス権限に近い権限を与えていた。
そして、そのような権限を与えていたのにも関わらずに、定期監査を行っていなかった。なので、長期間そして大量にデータをコピーされたにも関わらずに、外部からの指摘で発覚するという何ともお粗末な結果になったと思われます。

まあ、結局過剰な経費節減したことと、必要以上に長期間に渡って個人情報を保管していた=既に契約関係が終了した人物の個人情報を10年以上も保有していたとか。

ですから、個人的には「悪意のある内部犯行者」よりも、それ以前のレベルの流出リスクを沢山抱えていたのではと思います。

No.1 回答者： 121CCagent 回答日時： 2014/08/31 17:02

>社内の人間を疑う、というのはセキュリティ要件に含めるべきか悩んでおります。

会社の同僚を疑うことで人間関係がギクシャクしたり会社内の雰囲気が良くなくなることもあるので注意は必要かも。

会社によってはメールの送受信などの内容も含めたログを取っているところもあります。会社のPCなどを私用で使わないとか会社として通信記録を取っていますと予め従業員に通知しておくなどルールを明快にしておくことで無用なトラブルはある程度防げるかも。