5 怠惰なネットワーク管理者
万全のセキュリティ対策をもって臨んでも、IDやパスワード等を管理実行する要となる人物はネットワーク管理者であり、そのような責務を果たさない怠惰なネットワーク管理者は、組織の情報システムにとって大きな脅威となる。
例えば、ネットワーク管理者が日常的に行う業務の一つに、最新のセキュリティ関連情報の収集・監視がある。収集情報の分析により、ある基幹ソフトのあるバージョンにセキュリティ・ホールが発見され、早急に対処しなければならないことが判明したとしても、対応せずそのままにしておくと、外部からの攻撃対象になりやすい事態を招く。情報収集すら適切に行わない怠惰なネットワーク管理者の存在は、更に問題が大きい。
また、通常ネットワーク管理者は、権限の最も強いIDが割り当てられるため、非公開ファイルをアクセスしたり他人の通信の秘密を知りうる立場にある。そのため、特にネットワーク管理者には、強い倫理観が求められる。ネットワーク管理者の業務内容は専門性が高く、その業務内容や判断の結果を他の人が監視することは難しいかもしれないが、その責務や倫理的な姿勢についても求められるものは大きい。従って、ネットワーク管理者の業務内容の適切な文書化やチェック体制作りなど、その業務が適切に実施されているか客観的に把握できる環境を整備することが重要となる。
6 その他の信用失墜にかかわるセキュリティヘの脅威
情報システムのネットワーク化と、インターネットとの接続という開かれた環境への変化に伴い、脅威から守るべきものの対象範囲を、データ・情報そのものから、組織の社会的な信用へと拡大して考えていくべきであろう。インターネット時代においては、組織の個人一人一人のささいな行動が、組織全体の信用に大きく影響を与える脅威となりうることを認識することが重要である。
メール内容が改ざんされたり、データの部が破壊される可能性のある脅威については、技術的なあるいは運用上の対策について、いくつか検討されるかもしれない。しかしながら、インターネットというリアルタイムかつ迅速な情報伝達の仕組みの中では、思わぬことが脅威となり、あっという間に大きな信用失墜の種をまくことになってしまうケースが想定される。例えば、社員・職員個人が行う無意識の問題行為がある。悪意のある不正アクセスとは異なるもので、社員が所属組織のわかるメールアドレスで、あるサイトに個人の意見を書き込むことにより、組織自体が非難・中傷の対象となったり、就業時間中社員が不適切なサイトを訪問し、相手サイトのログ内容から組織自体が攻撃対象となるなどのケースが考えられる。このような場合、組織としてトラブルや事実をうやむやなまま隠蔽しようとするなど、トラブルヘの対処の姿勢や方法論を誤まると、よりその被害を大きくすることにもなりかねない。
このような類の脅威への備えとしては、個人への意識改革教育を徹底することのほかに、迅速な調査と組織としての何らかのアクションを迅速に表明するための体制作りが必要となる。
また、調査に必要なログ記録など、調査できるだけの十分な情報を日常的に整備しておくことは、最低限必要なことである。具体的な脅威や被害を想定してまさかに備える。備えなしでトラブルが起きてしまい、調査すらままならないでは信用の回復は望めない。
