(4)内部による不正行為
ネットワーク化に積極的な組織においては、セキュリティヘの脅威として、外部からの侵入に注目しがちであるが実際には、内部による不正侵入などの行為が外部と同程度に発生している。
内部犯行で特に危険性が高いのはメールの盗聴である。盗聴の方法には、通信経路上で盗聴する方法や、IDとパスワードを偽って他人になりすましてメールを送受信する方法がある。このうち「なりすまし」は、類推されやすい体系のIDとパスワードを採用していると、技術的な知識がなくても盗み読みできる。
(5)怠惰なネットワーク管理者
万全のセキュリティ対策をもって臨んでも、IDやパスワード等を管理・実行する要となる人物はネットワーク管理者であり、管理者が適切な責務を果たさない場合は、組織の情報システムにとって大きな脅威となる。
ネットワーク管理者の業務内容は専門性が高く、その業務内容や判断の結果を他の人が監視することは難しいかもしれないが、その責務や倫理的な姿勢についても求められるものは大きい。
したがって、ネットワーク管理者の業務内容の適切な文書化やチェック体制作りなど、その業務が適切に実施されているか客観的に把握できる環境を整備することが重要となる。
(6)その他の信用失墜にかかわるセキュリティヘの脅威
インターネットの活用により、情報システムは閉ざされた世界から開かれた世界へと大きく変化してきている。このような環境下においては、脅威から守るべきものの対象範囲を、データ・情報そのものから、組織の社会的な信用へと、拡大して考えていくべきであろう。インターネット時代においては、組織の個人一人一人のささいな行動が、組織全体の信用に大きく影響を与える脅威となりうることを認識することが重要である。
3 セキュリティ対策の考え方
セキュリティ対策を策定する上で重要なことは、技術と運用の両面から考えるとともに、両者のバランスにも配慮することである。