Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

性弱説での重要文書管理が必要なのではないか?

日経新聞の3月1日記事に、日本企業の重要文章が中国百度の文章共有サイトに漏えいしている事が報道されていました。

www.nikkei.com

IT関連会社「クロスワープ」(東京)が調べたところ、2017年6月~18年2月だけで186社の文書掲載が確認された。いずれの資料にも「機密」を意味する注意書きが記されていた。

 文書が掲載されていた企業はメーカーからサービス業まで多岐にわたる。製品の設計図や社内研修で使われたとみられる製品機能の説明資料のほか、飲食店チェーンの接客マニュアルもあった。

(日経記事より引用)

 

◆キタきつねの所感

何か既視感があったのですが、日経記事にも2013年にも同じく「百度文庫」に日本企業の重要機密情報が流出した事が報道されていました。2013年当時は、トヨタ、ホンダ、東芝、日立、パナソニックソニー三菱重工業なども社外秘資料や、内部文書を流出しており、日本のIT部門のセキュリティ体制の脆弱性について海外(特に中国ネットでは)酷評されていました。

 

参考

news.livedoor.com

2013年当時と同じく、中国の百度文庫に対して削除を要請する事で一時的には「収束」するのでしょうが、それだけで良いとは思えません。根本的な問題が、重要文書を漏らした日本企業側にあるのは間違いありません。

従来の日本企業的な考え方では、「設計図」へのアクセスは正社員のみであり、派遣社員やパート社員は触れなくさせていたかと思います。正社員は長く企業に勤める事が前提であり、企業への忠誠心が高いことからそうした内部漏えいのリスクは少ない・・・そんな性善説」思想でセキュリティ体制を構築している企業も多いでしょう。

しかし、このご時勢、海外国籍の方が日本企業でも多く働いているのは間違いなく、優秀な方は正社員としても働いている企業も多いのです。日本企業でも長引いた不況の影響から終身雇用が崩れ始めており、企業への忠誠心をベースにした「性善説」体制だけでは、企業の重要資産は守れなくなり始めているのだと思います。

 

日本企業は、「性善説」でも「性悪説」でもなく、「性弱説」に基づいてセキュリティ体制を考えるべきなのではないでしょうか。

 

参考:

www.attrise.com

日経の記事では、対策案を以下の形で紹介していました。

内部資料の流出を防ぐには何が必要か。分部弁護士は現地従業員を雇用する際の秘密保持契約の確実な締結や営業秘密の保護意識を高める社内セミナーを開くといった事前対策に加え、流出した場合は原因を究明し再発防止に努めるべきだ」と話している。

(日経記事より引用)

 

確かにその通りだと思います。ですが日本の大手企業では、これらの対応は大体やってきていたのではないでしょうか?

だとすれば、今と同じ事(性善説ベースの対策)をやっていても潜在的な流出リスクは防げない気がします。

私は、人間は弱いものなのだから、ふと悪いことをやってしまう(ポイント欲しさに中国の文書共有サイトに機密文章を載せてしまう)という「性弱説」視点で、悪いことをやらせない環境作りを工夫する事が、日本企業には向いている気がします。

例えば、声がけ(コミュニケーション)、作業記録(日報・週報)チェックであったり、紙管理の強化としては、マニュアルへのナンバリング管理であったり、研修資料の「研修後回収」やファイルへの閲覧・印刷制限(パスワード付)・・・など、日本企業で普通にやっていそうな事を強化するのも有効ではないかと思います。

 

性悪説的な視点(ドライな外資系企業的な対策)では、外部共有サイトへのアクセス制限環境が許せば、定期的な従業員チェッククレジットヒストリーやクリミナルチェック)、機密情報へのアクセス制限・ログ取得・・・もありますが、実は監視カメラがさりげなく自分の行動を監視しているのが一番けん制効果が高い気がします。。。

他にも色々な手法があるかと思いますが、いずれにせよ文書管理の脇の甘さは、重要な企業課題であると認識しないと日本企業のこれ以上の発展は”無い”のではないでしょうか。

 

 

機密文書・機密書類のイラスト

 

更新履歴

  • 2018年3月3日PM(予約投稿)