近年はコンプライアンス意識の高まりも影響し、自治体から発表される事案は中小企業にとって対策の参考にすべき内容が多い。

特に参考にすべきは、内部脅威による情報流出などのセキュリティ問題だ。自治体レベルの厳しい内部反省の目線を持つことにより、企業のセキュリティ意識はさらに向上する。

アクセス権限の適切な管理

2021年1月、九州地方のとある自治体で住民約1万人分の個人情報が外部に流出したという事案が報告された。これは、自治体の職員が個人情報データにアクセスできるメールを外部に誤送信したことが原因で発生した事案である。

誤送信という人的な問題も注意すべきだが、企業がこの事例から学ぶべき点は、個人情報にアクセスできる権限を適切に管理していなかったことだ。万が一メールが誤送信されたとしても、外部の人間がアクセスできないよう設定しておけば問題にはならない。

機密につながるアクセス権限は、職務上絶対に外せない領域のみにとどめておき、最低限の範囲内のみに付与することが重要である。また、人員が異動した際やプロジェクトが終了した際は、必ず権限の剥奪と再評価を行い、適切に付与し直すこともトラブル防止につながる。さらに、一人の職員が一連の重要な作業を全て完了できないよう、承認プロセスを分けることも重要な防止策だ。

ログ監視と異常検知で発生を防ぐ

2021年5月、九州地方のとある自治体で職員が人事情報を不正にのぞき見していたという事案が報告された。これは、職員が職務上の権限で得た情報を用いて業務システムのIDおよびパスワードを推測し、不正にアクセスしたことが原因で発生した事案である。

この事案は組織内部の人間による犯行であり、かつ保護されているIDとパスワードが推察される形でセキュリティを突破されたというケースであったことから、発生の検知が遅れ約1年間野放しにされていたことが報告されている。このように人間の目では発見が困難な事案については、ログ監視による異常検知といった手段で対応することが有効だ。

システムのログを包括的に監視することができれば、 ログイン履歴、印刷履歴、アクセスしたデータベース・ファイルの内容などを第三者がチェックすることができる。また、これらの情報を自動的に分析し、通常時間外のアクセスや大量データのダウンロード、短期間で多数の情報閲覧など不審な行動パターンなどを検知しアラートするサービスの併用もチェックの精度を格段に向上させることができる。

物理的セキュリティと端末管理の見直し

2022年8月、関西地方のとある自治体で市民の個人情報が入ったUSBメモリーが紛失するという事案が報告された。これは、自治体が業務を再々委託した企業の社員がデータを無断で外部に持ち出したことが原因の事案である。

USBメモリーやPCといった物理的な情報機器はシステムによる管理が難しい。実物が外部に持ち出されれば追跡ができないためだ。このような事態に関しては、組織内で持ち出し範囲を厳しく制限し、徹底的に外部への物理的な流出を防ぐことが最大の対抗策である。

ただし、万が一トラブルが発生した場合でも、すぐさま問題の実態を把握し被害を最小限に抑えることは可能だ。例えばサーバー室のような重点区域については入退出の記録を取得し、誰がいつ問題の原因を作ったのかを把握して、即座に対処できる仕組みを構築しておくことが必要である。

内部脅威への対策は、時として従業員の自由を縛ることにもつながる。重要なのは、監視と信頼のバランス感覚だ。特に従業員が「自分たちは信頼されていない」と感じる職場環境ではむしろモラル低下や業務意欲の萎縮という、企業にとっての不利益が発生しかねない。そのため、内部脅威への対策の重要性を従業員に説明し納得を得ることが不可欠だ。組織と顧客を守り、ひいては従業員を守ることにもつながることを理解し、内部脅威との向き合い方を模索する必要がある。