情報セキュリティの課題に対し、"牽制球" と "防衛" という明確に分けられたコンセプトによって対応。 (上野室長)
社員によるものと思われる書き込みが、ある掲示板サイトに見つかる。会社の評判を落とそうという意図が伺えるような内容でもあったため、対策の必要性を感じていた。
―― 製品導入前の頃ですが、御社とのやりとりで、ある掲示板サイトに書き込んでいる社員がいるというお話から、書き込んでいるのが誰かわかるのかということになり、当然社外で書いている場合はわからないけれども、もし社内で書き込みを行った場合にはわかりますよ、と申し上げました。ちょうど個人情報保護法が施行された時期でしたが、かなり早期に導入を決めていただきましたね。
上野システム管理室長
上野 そうですね、個人情報保護法のときでしたね。
―― われわれの製品はWebアクセスの状況を監視するしくみということで、そのようなタイミングと重なったのがきかっけだったと思うのですが、そのときに動機やきっかけなどはあったのですか?
上野 先ほどご指摘のあったある掲示板というのは 2ちゃんねる のことで、きっかけは2ちゃんねるですね。2ちゃんねるに、軽い気持ちでというよりは、会社の評判を落とそうという意図や悪意を持っていると思われるような書き込みがあったんです。
本当の "悪意" や "故意" をやめさせるのは無理なんですね。それでどうしたらいいのかと考えました。教育も無理でしょう? "故意" なんですから。それで、それを止める一番手っ取り早く、それほど大掛かりなしくみが必要なくて、ある程度の効果が得られるのは "牽制球" ではないかと考えました。その "牽制球" に当たるのが NetRAPTOR です。
NetRAPTOR の導入効果は次の2つがあると思います。1つは "常時、情報をトレース(追跡)しています" ということを社内にオープンにして、社員全員に対し "不正は許しませんよ" という "牽制球" を投げることができたこと。もう1つは、後で何かが起こったときにチェックできるということですね。後になって考えても、このやり方が一番だなと思うようになりました。
―― それは、ひろく社員全員の方に通知したんですか?
上野 それはもう、言いましたね。そして、『パソコン管理規定』にも "トレースしています" と記載しました。
酒井システム管理室課長
酒井 『パソコン管理規定』というのは、個人情報保護法のときに社内で見直されたもので、パソコンの操作とか、メールとか、インターネットアクセスとか、そういったものをトレースしていますよ、と "牽制球" を兼ねて見直しました。そして "トレースしていますよ" という "ネタ" にNetRAPTOR を使わせて頂いています。
上野 あと、情報セキュリティ対策のコンセプトを "防衛" と "牽制" の二つに完全に分けたんですよ。ウィルスやハッカーのように "防衛" できるものには、必要なお金をかけて、わりとがちがちとやればいいんですが、ところが、"情報を漏洩してやろう" というような "故意" のものは、防衛するのが極めて困難なんですね。それに対しては "牽制球" かな、と。これは結果的には正解でした。もし "故意" に対して完全に防衛してやろうと思ったら、むちゃくちゃ費用がかかってしまいますから。
―― なるほど、それは明確な考え方ですね。
酒井 "牽制球" にまつわる面白い話がひとつあるんです。2ちゃんねる内で、"どうやらトレースを取っているらしい" といううわさが広まりまして、逆に2ちゃんねるの側から "牽制球" の "ネタ" が提供されるという結果になりました(笑)
[ 次へ ]
