小さなミスを“大事件”に発展させないために インシデントに強い組織になるために必要な仕組み

1

2021年11月30日 07:21  ITmediaエンタープライズ

  • 限定公開( 1 )

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真写真

 2021年11月18日の神戸新聞で、興味深い“不祥事”が記事になっていました。ポートライナーを運営する新神戸交通における従業員の懲罰処分を報じるものです。



【その他の画像】



 記事のタイトルは「『上司に怒られる…』臨時社員の小さなミス、あちこち飛び火の不祥事に」です。売上金800円に対する記載ミスを報告しなかったことをきっかけに、巡り巡ってパワーハラスメントや情報漏えいが発生しました。以下が記事の引用です。



 しかし4日後、本社部門による審査で売上金の不足が発覚する。持ち出しの事実は、駅の責任者である50代男性社員の耳にも入った。そして女性を指導する際、怒りからか「社内に公にする」「警察に通報する」などと発言。これが後日、「業務上の必要性を逸脱した暴言」と見なされ、女性に精神的苦痛を与えるパワーハラスメント行為と認定された。



 不祥事は連鎖する。女性の行為は社内の懲罰委員会にかけられ、審議が進められた。10月、委員を務める60代の男性社員(係長級)は、処分公表前にもかかわらず、女性の職場を訪れ、同僚である別の社員2人に審議内容を知らせてしまう。(中略)親切心による行為と弁解したが、同社は機密情報の漏えいと断じた。



(「上司に怒られる…」臨時社員の小さなミス、あちこち飛び火の不祥事に|総合|神戸新聞NEXTから抜粋)



 この事件はITセキュリティに直接関わる話ではありませんが、ほんのわずかなミスでも組織を揺るがす大きな事態に発展する可能性があると教えてくれます。筆者を含めて他人ごととは思えない読者も多いのではないでしょうか。



●ちょっとした違和感を放置しないことの重要性



 筆者は今回の事件を聞いて、本連載でも取り上げた仮想通貨取引所を運営するコインチェックで2020年6月に発生したインシデント事例を思い出しました。同社が利用する外部のドメイン登録サービスで、コインチェックのネームサーバ(DNS)情報が、何者かに書き換えられたというものです。



 同事件では社内のメンバーが「小さな違和感」に気が付き、きちんとチームに報告したことで水面下で進行中のサイバー攻撃を食い止められました。チーム内でチャットを利用し、自由に意見交換できる場があったことが功を奏した事例だと思います。社内の「ミス」に対しても同様に、十分な報告体制を構築する必要があるのではないでしょうか。



●ITセキュリティにおける「ミス」は恥ずかしいことではない



 本連載ではたびたび、「専門家ではない従業員がセキュリティを意識して実践できること」の重要性について触れています。それはつまり、専門家だけでなくインターネットにつながる全ての人が当事者意識を持ち、セキュリティを確保できる仕組みを作る必要があります。もっとシンプルに言えば「失敗する前提で考える」ということでしょう。



 フィッシング詐欺を例に考えてみましょう。どうしてもフィッシング詐欺では「Webサイトの特定の部分を見て判断する」という、分かりやすい半面、完璧ではない対策が挙がりがちです。



 しかし近年のフィッシング詐欺に利用されるWebサイトは見た目では本物と見分けが付かず、ドメイン名も巧妙に偽装されており、気を付けたとしても引っ掛かる可能性は十分にあります。その際、従業員が「見分けられるはずだから間違ったら恥ずかしい」という思いから、報告を遅らせたり報告をしなかったりする事態は避けなければいけません。「おかしいと思ったら」「ミスをしたと思ったら」どこに連絡をすべきかを周知することも重要な対策です。



 同様にメールやSMSも真偽の判定が困難になってきています。リンク付きのSMSは無視できるとしても、メールに関しては業務に関連した情報が飛びかうため「重要な内容を見逃すわけにはいかない」という意識が働いてしまいます。この意識を逆手に取り感染を狙う「Emotet」といったマルウェアに最大限に注意しつつ、「マクロをオフにする」「添付ファイルをこれまで以上にチェックする」といった対策を講じ、それでももしミスが発生したと思ったら即座に通報する仕組みを整えましょう。



 インシデントやミスに関する連絡窓口を設置することは重要ですが、それ以上に連絡窓口に報告するハードルを、可能な限り低くしておくことも重要なのではないでしょうか。



●インシデントを防ぐには 報告を評価できる組織になろう



 セキュリティソリューションとして注目を集めるEDR(Endpoint(Threat)Detection and Response)は、エンドポイントのPCやIoTなどのデバイスをセンサーとして、デバイス内でのプロセスの挙動やファイル送受信などの情報を収集します。これによって何らかの攻撃の兆候があったときには、マルウェアやランサムウェアが「どこから侵入したのか」「どこを標的にしているのか」などが記録できます。



 個人的に、同様の仕組みは組織のセキュリティ体制にも応用できると思います。インシデントを防ぐには、PCの怪しい挙動や普段と違う画面表示、操作ミスなど、ささいな違和感やミスを気軽に報告し、それでとがめられない、そして怒られない空気を作ることも必要です。特にテレワークに移行した組織であれば、明示的にそういった場を作らねばならないでしょう。



 ビジネスメール詐欺やCEO詐欺と呼ばれるものは、最終的には人をだまして金銭を奪う手法です。人はだまされますが、優秀なセンサーでもあるはずです。組織の全員がセンサーになるために、まずはミスを責めるのではなく、違和感を報告したことを褒める組織でありたいですね。


    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定