複合機にセキュリティ対策が施されておらず、情報がダダ漏れの状態になっている大学などが多数あることを、朝日新聞が一面で報じました。こうした問題は、組織的な対策の狭間の、個人に管理を委ねられた所で見つかる場合が多く、最近の情報漏えい事件のきっかけを象徴するものに思えます。
情報漏えいはよくニュースで報じられることもあり、私自身、とりわけネットにおける危機管理対策をしたいという相談を受ける機会が多いのですが、それぞれの課題を調べる中で、「リスクの高い組織」は社員に「よく似た言動」があると感じるようになりました。
そこで今回は、注意したい社員の振る舞いについて、いつものように動画を交えながら、紹介したいと思います。
ネット動画はアイデアの宝庫、それでは2016年もいってみましょう。
首から社員証を下げたままランチする組織は危うい
早速ですが、まず組織の情報漏えいリスクについて、最初の見通しを立てるために、私自身がよく使っているチェックリストがあるので、紹介します。
自社におけるやりとりや振る舞いを思い出しながら、当てはまるものがあるかどうか、確認してみてください。
□ メールでCCする人数が多い
□ 電車内や会議中でもかかってきた電話に出る
□ のぞき見防止シートを付けずに外でPCで作業している
□ 個人スマホで職場のホワイトボードの写真を撮っている
□ SNSで仕事関係の投稿にしか「いいね」しない
□ 仕事の訪問先でよく写真を撮って投稿している
□ 会議の机や食事のテーブルの上にスマホを置く
□ 社員証を首から下げたまま社外でランチを食べている
当てはまるものが多い組織は、社員の情報管理意識の甘さから、組織としての情報漏えいリスクが高いと予想して、より詳しく調べるようにしています。
もちろん、当てはまるものがあれば即アウトという話ではありませんが、多くの組織で話を聞く中で、こうした項目に当てはまる社員が多い組織ほど、その組織の「知られたくない情報」「指摘されたくない事実」がすでにネット上にたくさん出ている確率が高い、と感じるようになったからです。
一言で言えば、こうした振る舞いの目立つ人たちは、自分が持っている情報について相手や内容を厳密に絞らずにシェアしている傾向が強く、業務全体にも同じような危うさがあるのではないか、というのが今のところ、私の仮説です。
情報漏えいの8割は内部要因
最初に触れた朝日新聞の記事(1月6日の朝刊一面「ネット接続の複合機など、データ丸見え 大学など26校」)によれば、計140台で第三者が外部からデータにアクセスできる状態にあったと言います。
官公庁や一定規模の企業はファイアウォールやパスワード設定などの対策をとっている一方で、大学などでは機器の設置やネット接続が研究者ら個人の裁量に委ねられることが少なくなく、組織的な対策から漏れてしまうケースがあると見られ、その後の内部調査で計677台の複合機とプリンターで同様の状態になっていることが分かったとしています。
また朝日新聞は、昨年3月、ネット接続できるウェブカメラで、独自調査した2163台のうち約35%にあたる769台がセキュリティ対策を取っておらずに第三者から映像を見たり音声を聞いたりできる状態になっていたことを報じています(「ウェブカメラ、ネットで丸見え3割 パスワード設定せず」)。
ネットに接続する機器が増え続ける中、こうした問題が指摘されるたびに、グローバルIPを設定するのがおかしい、初期設定でパスワードを入れればいい、ユーザーへの説明が不可欠、などなど、それぞれの立場に向けた対策を望む声が上がります。そしてそれは、どちらかというと不正アクセスなどを意識したものが多い。
一方で、実際の情報漏えいの原因は、件数で見ると不正アクセスやウイルス感染などの外部要因ではなく、8割がうっかりミスなど内部要因です(こちら)。
毎月さまざまな情報漏えい事件が起きています(こちら)が、管理ミスや誤操作、情報の持ち出しなどが多いとされています。もっとも、ウイルス感染や不正アクセスは、1件当たりの情報流出量が大きく被害が深刻なため、当然そのリスクも看過できません。
こうした問題に対して、組織的あるいは技術的な対策については、実はそれほど差がつきません。ルールや方法が一般化されているからです。
これに対して、個人に管理を委ねている部分については組織間の差がとにかく大きい。どんなにルールを厳格にしても必ず隙間があります。社員一人ひとりの意識の差が、そこで組織のリスクとして差を生んでいるのです。
叩けば開く鍵
ここで最初の動画を紹介します。
これは鍵の専門家が公開しているもので、堅牢な(と特性を謳った)最新型の鍵を、ハンマー1つで簡単に開けてしまう方法を見せています。
有名メーカーの最新型の鍵の中にも、簡単に開くものがあるから気をつけろ、というのがメッセージになっています。
調べてみると、これ以外にも叩くと開く鍵が世の中には少なくないということがよく分かります。
ほとんどの人は、「正式な」鍵の開け方が頭の中にあると、それ以外の方法を意識することが困難です。それは当然と言えば当然です。
ところが、それまで意識しなかった別の方法を見つけようとすれば、何がしかの情報がひっかかってくる可能性が少なくない。それがネットの世界なのです。
そしてまた、そんな意識が働くかどうかで事故が生まれたり、防げたりする差が現場では生まれています。
「自分の日常」に他人が問題を見つける
2015年1月、ツイッターで職場の机の上にヨーグルトを置いた写真を投稿した人物が、その写真によって大きな問題となり、その後、戒告処分になった事件があります。
写真の中に、机に置かれた企業の税務書類が写り込んでいて、他のユーザーからの指摘で、それが兵庫県姫路市役所の職員だったことが発覚したのです。
「配慮の足りないバカな個人の行為」で済ませられる人なら気は楽かもしれませんが、組織でセキュリティ対策を担当する人たちにはちょっと笑えない話です。
職場に個人のスマホを持ちこみ、仕事と個人の情報が混在している機器を扱うことが一般化する中で、「同じような問題がいつ起きてもおかしくない」という職場が少なくないからです。
姫路市役所の職員は、お腹が空いたことを伝えようとして机の上にヨーグルトを置いた写真を撮りました。
ここで重要なのは、その職員にとって、自分の机の上は「日常」だということです。そして、そこにヨーグルトを置いた時、自分の目はヨーグルトに行きます。それ以外は「日常」ですから気にならないのです。
そして、当然、自分とネットでつながっている人たちも、ヨーグルトを見るだろうと、本人は考えます。お腹が空いたことも文字で書いているので、本人の中で伝えようとしているメッセージはクリアです。
ところが、「机の上」は他人にとっては非日常の世界ですから、何があるのかが気になります。何の仕事をしている人か、これは何の書類か、これは見せてはいけない情報ではないのか、これは一体何者だ、という具合です。
もちろん、公開情報になっているツイッターで、そもそも公開してはいけない情報を、しかも勤務時間中に投稿するという、これ自体はいくつもの問題が重なった事件ではありますが、写真のネット投稿では、大きな問題に発展するかどうかは別にして、これに近い問題がよく起きています。
しかも最近のカメラは解像度が高い。スマホの画面上では小さくて気づかなくても引き伸ばして解析できる情報がたくさんあります。最近は、自撮りの写真に映った人物の眼に反射している映像から、本人がいる場所や一緒にいる人を特定されるといった話を聞きます。
先の鍵の動画で「正式な鍵の開け方」だけしかイメージできない人と、まったく別の開け方を試す人の意識の差が、そこにあるわけです。
ネットでは泥棒も販促に利用される
ここでまた別の動画を紹介します。
これは、「泥棒はただタコスが欲しかった」というタイトルの動画なのですが、登場するのは本物の泥棒で、動画を公開しているのは泥棒に入られたタコス屋さんです。
米・ラスベガスにあるこの店は、セキュリティカメラに映った実際の泥棒の映像を使って、「彼らはうちのタコスが欲しくて欲しくて、深夜、ドアを壊して店に突入したんだけど、肝心のタコスを見つけられなかった」「それほどまでにうちのタコスはうまい」というストーリーにまとめています。
泥棒が金銭目当てであり、タコス目当てではないのは明らかなのですが、泥棒に入られながらも、それを商売のアピールに使っているところが面白いと評価・注目されている動画です。
セキュリティカメラの映像と販促。これは一見つながりにくい組み合わせですが、実はネットの危機管理でも、これと似た組み合わせで社内啓発を期待されることが増えています。
それはつまり、「ネットの利用法について注意を喚起したい」が、同時に、「積極的なネット活用も促したい」というものです。
厳しいルールで縛って情報発信を制限するのではなく、安全な方法を学びつつ便利にどんどん使ってほしいということです。どちらか一方に重きを置いていた以前に比べて、業務においてネットがそれほどまでに不可欠なものへと変化した現状が分かります。
社員証ぶら下げランチはなぜダメか?
最後に、冒頭のチェックリストのそれぞれの意味を簡単に解説しておきます。
□ メールでCCする人数が多い
→CCメールは実質的にはほとんど読まれておらず、送る側の自己満足で送っているだけのことが多い。またCCされる側には大量のCCが届いていることを送っている側は考慮していない。必要なら直接報告があるものと上司は考えている。
□ 電車内や会議中でもかかってきた電話に出る
→周りで会話を聞いている人に意識が及んでいない場合が多い。
□ のぞき見防止シートを付けずに外でPCで作業している
→スマホやタブレットの画面が大型化し、ノートPCはタッチパネル化が進んでいる中で、のぞき見防止シートの利用度が下がっている。情報のシェアはしやすくなった一方で、周りからも見えやすくなっている。
□ スマホのカメラでホワイトボードの写真を撮っている
→スマホの画像データ流出が増えている。ホワイトボードの情報から所属組織を特定され、個人の不注意が組織の問題に発展する危険性が少なくない。
□ SNSで仕事関係の投稿にしか「いいね」しない
→何の仕事をしているか一目瞭然。
□ 仕事の訪問先でよく写真を撮って投稿している
→どこと商談しているのかが一目瞭然。
□ 会議の机や食事のテーブルの上にスマホを置く
→SNSの利用頻度、投稿頻度が高い人が多く、情報がネット上に流れ出ている可能性が高い。
□ 社員証を首から下げたまま社外でランチを食べている
→社名や氏名を知られ、検索されて狙われたり、会話の内容をチェックされる危険性が少なくない。
これらの項目に当てはまる人は、総じて自分自身が見られているかもしれない、狙われる可能性があるかもしれない、という意識に乏しい。
情報セキュリティの対策は、利便性とコスト、そして実際の運用で完璧なモデルがなく、現場にはあちこち課題があります。
ただ、組織によってその意識や認識には大きな開きがあって、「運良くまだ大きな問題は起きていません」という所から、「何か起きたら運が悪かったと思って」というところまでさまざまであり、興味深いことによく「運」という表現が出てきます。
しかし、社員を見ていれば業種業態に関わらずリスクの素地は分かりますから、そんなところに運を使わないで、少しずつでも対策をとった方がいいですよ。
ネット動画はアイデアの宝庫。それでは、また金曜日にお会いしましょう。
この「金曜動画ショー」が本になりました。過去のコラムで特に反響の大きかったものを中心に再構成し、効果的な伝え方についてまとめた本です。
さまざまな事件や問題が、動画を組み合わせて振り返ることで、単なるニュースではなく、みんなの教訓にできるような流れでまとめられています。
しかも本なのに、スマホやPCで動画がすぐに見られる工夫が!
せっかくなので、この金曜動画ショーの読者に動画で紹介をお願いしました!
登録会員記事(月150本程度)が閲覧できるほか、会員限定の機能・サービスを利用できます。
※こちらのページで日経ビジネス電子版の「有料会員」と「登録会員(無料)」の違いも紹介しています。