総合的セキュリティ事故の原因
何故セキュリティ事故が起こるのでしょうか?
一般的にセキュリテイ事故は下記要因によって発生すると言われています。
- 【1】外部からの不正行為
- 【2】内部からの不正行為
- 【3】内部の操作ミス、処理ミス
- 【4】偶発的な事故
- 【1】外部からの不正行為
- 具体的には、サーバーに侵入する行為や外部からの泥棒等を意味しています。
- 【2】内部からの不正行為
- 社員や契約社員、派遣労働者等が何らかの目的で情報を抜き取る行為などを意味しています。
- 【3】内部の操作ミス、処理ミス
- メール送信でBCCとすべきなのにCCとしてしまった等の単純な操作ミスやPCの車上荒らし(盗難)などを意味しています。
- 【4】偶発的な事故
- 地震・火災等の天地天災などを意味しています。
こうした原因を冷静に考えますと、自ずと対策は見えてきます。
- 【1】外部からの不正行為
- IT・ネットワーク周りのセキュリテイ対策、外部から侵入されない建物施設のセキュリティ対策、事務所に勝手に入れないように入退出管理や事務所のロケーション管理、など
- 【2】内部からの不正行為
- 情報取扱規定など関係者に適用する社内ルールの設定、ファイルへのアクセス制御、委託先・外注先の選定とルールの選定、なと゛
- 【3】内部の操作ミス、処理ミス
- うっかりミスを防止するための教育、など
- 【4】偶発的な事故
- バックアップや二重ファイル対策、など
ここで、大事なことは、頻発している情報セキュリティ事故と上記4つの原因との因果関係を考えてみることです。
お気づきになったかもしれません。多くの事故原因は【2】と【3】が大半です。つまり、「ヒト」が介在する事故が多いのです。
したがって、「セキュリティ=IT・ネットワーク対策」と考える方が多いのですが、IT・ネットワークのガードをいくら高めてもセキュリティ事故は防げません。
「総合的な対策が必要である」、これが重要です。