• クリティカルチェーン TOCによるプロジェクト・マネジメント

冨永 宏志 株式会社ロゴ ビジネスパートナー

パソコンの画面は盗み見されるかも?
パソコンの画面は盗み見されるかも?

テレワークの展開が芳しくない

コロナ禍は、9月18日現在感染者が7万8千人を超え、亡くなった方も1500名に達しています。
残念ながら収束が、まったく見えてきません。
そんなコロナ禍対策として仕事のテレワーク化は、驚異的なペースで進んだのは皆さんご承知の通りです。
しかし、日本生産性本部が緊急事態宣言解除後実施した「新型コロナウイルスの感染拡大が働く人の意識に及ぼす調査」よると、オフィスへの出社人員は、約7割に戻っています。
オフィス回帰の理由の一つに、職場に行かないと閲覧できない資料やデータのネット上での共有化が難しいと約4割の方が指摘しています。これは情報セキュリティの観点で情報の取り扱いの対策が不足していた結果だと思います。
筆者は、ある省庁で情報セキュリティ監査制度構築の委託研究委員を務めたことがあります。この時期、社内では情報システムとセキュリティの担当でした。
当時上司からは利便性を優先すべきで、利益を生まないセキュリティ対応は可能な限り低コストで行うことが求められました。コロナ禍のような事態になることは全く想定していませんでした。

米国は、本気のようです

トランプ政権がファーウェイやTikTokを米国から排除する法案が成立したニュースを皆さんもお聞きだと思います。筆者も「米中経済戦争が一段と激しくなったな」と思いました。中国の「国家情報法」と「インターネット安全法」に脅威を感じている米国は、本気で中国を排除する考えのようです。
実は2017年のオバマ政権末期に民主党が既に法案を提案していました、つまり政策が異なる共和党と民主党の両陣営が同じ法案を必要としていたのです。
危機管理意識の高い米国政府は、中国企業を米国から排除することで失う利益よりもセキュリティを守ることを選択したのだと思います。

ハード面のセキュリティ対策だけでは情報漏洩リスクは抑えられない

日本でもホームページの改ざんやハッキングによる情報漏洩事件の多発、最近でもドコモの口座の不正振込事件など情報セキュリティに関わるニュースが後を絶ちません。
このため企業も、さまざまな技術的なセキュリティ対策を実施しています。
ただ筆者は、ハード面のセキュリティ対策だけでは「情報漏洩をゼロにすることはできない」と考えます。
例えばハードのセキュリティ対策の一つにファイルのコピーをできないようにするためパソコンのUSBメモリ接続が利用できない仕組みがあります。しかし、USBメモリ接続が利用できなくてもパソコンの画面に欲しい情報を表示しておき、これをスマホで撮影すれば誰にも気づかれずに情報の中身をコピーすることができてしまいます。
また、企業内のように物理的なセキュリティ対策がある場所とくらべ在宅勤務のセキュリティ対策は限られたものにならざるをえません。そんな自宅の食卓に重要な資料を置いていた時に盗難や紛失が発生したら手の打ちようがありません。ハード面とは異なるソフト面での対策も合わせて必要になります。
筆者は、10数年前に情報漏洩対策として社内で使用する全ての情報で最終製品名を全てペットネーム表現とする施策を実施した経験があります。
ペットネームで表現されている資料が万が一にも外部に漏れたとしても、それが何の情報か分からなければ企業に実害は発生しないことになるとの「ダメージコントロール」として採用しました。
この対策には、ペットネーム管理が難しい、資料が二重化しやすく煩雑になる、概要や全体外観図などで最終製品が判ってしまうなど考慮すべきいくつかの問題もありましたが、現在も筆者の出身企業で継続しているようです。

この機会に情報の取り扱いを真剣に考える

情報漏洩のゼロ化は、基本的に無理でしょう。情報漏洩は必ず発生すると想定する必要があります。
「なぜ情報漏洩対策を行う」のでしょうか?それは「情報漏洩が企業に莫大な損害を発生させるから」でしょう。
しかし「もし情報漏洩しても損害が発生しない仕組み(ダメージコントロール)ができれば、情報漏洩リスクを抑えたことになる」とセキュリティの専門家はそろって発信しています。
例えば、仕事を行う単位を1週間程度で完遂する仕事量にする。これで、情報量を必要最低限に絞り込むことができます。これは、万一情報が漏洩しても被害を低いレベルで抑える対策になるでしょう。

企業の保有する重要な情報を守るために、また安心してテレワークを推進するためにも、この機会に「情報の取り扱い」を真剣に考えてみませんか。