データ漏洩が起きると社員にどのような影響が及ぶのか?この疑問に答えるに当たって、データ漏洩インシデントの大半がどのような原因で起きているのかを探るところから始めたいと思います。CISOとしての私の経験では、ずさんさ、社員の無責任、効果的でない管理に原因が根ざす場合が多々見られます。言い換えれば、どういう見方をしたとしても、問題の中心には人的要因があります。
責任を取らない従業員
ワークフローにどのような変化があれば生産性と仕事への満足度の向上につながるか、試しに従業員に尋ねてみてください。人は一般に、自分にあったやり方で、邪魔されることなく仕事をしたいものです。たとえば、自分のコンピューターの管理者権限を持ちたい、好きなソフトウェアをインストールする権限が欲しい、自分の部署のデータやシステムへのアクセス権を自身の裁量で付与できるようにしたい、オフィスに誰かを連れてきたい、そういった類いのことが出てくることでしょう。
それでいて、自分が望むものや便利だと思うことについて責任を取る覚悟が本当にできている人は、ほとんどいません。多くの従業員は(時にはその上司も)無頓着で、自分はどうにかして守られているので何をしても誰かが何とかしてくれる、と思っています。もちろん、我々企業サイバーセキュリティ専門家は常にユーザーを守るべく全力を尽くしていますが、さすがに全能ではありません。
不適切な管理上の意思決定
深刻なインシデントを引き起こす第2の原因は、おおまかに言って、業務プロセスが効果的に管理されていないことです。この中には、情報セキュリティ担当およびIT担当の作為または不作為も含まれます。サイバーセキュリティに真剣に取り組んでいる企業であれば、1人の社員がウイルスに感染したファイルの入ったUSBメモリをPCに挿した、または悪意ある添付ファイルや悪意あるURLを含むメールを開いたくらいで多大な損害を被ることはありません。いくつかの過失が重なってかみ合ってしまうことで、深刻な損害につながるのです。
- 業務プロセスが、この種の過失が起こりうるような形で運用されていた。
- 誰かがミスをした、または情報セキュリティポリシーに違反した。
- 情報システムまたはインフラのサービスに、未検知またはパッチ未適用の脆弱性が含まれていた。
- システムが複雑すぎて、安全な設定、適時のパッチ管理、セキュリティ対策の実装に必要なリソースが不足していた。
- 損害が生じる前にセキュリティ部門が(スキルまたは機会がなかったために)インシデントを特定できなかった。
上記は、一つ一つが何らかの意思決定の結果です。こうした複数の要因が重なって、インシデントの原因を作り上げています。インシデントが社員のモチベーションにどのように影響するかは、経営陣の対応に大きく左右されます。時には、インシデントそのものよりも、そうしたインシデントの再発防止のために企業が採用する方策の方が大きな損害につながることもあります。
実際にあった事例を1つ紹介しましょう。ある銀行では、外部からの攻撃と従業員のミスの両方が原因でインシデントが発生し、そのたびに銀行のシステムがしばらくのあいだ停止するという事態を繰り返し経験しました。経営陣は、責任感のある行員のモチベーションを高め、失態を犯した従業員に罰を与える意味で、ITおよび情報セキュリティ担当者の解雇を数回にわたって断行しました。その一方で、自動化バンキングシステムに構造上の脆弱性があることを知りながら、新しいシステムの開発にも古いシステムの修正にも予算を割り当てませんでした。長年勤めてきた従業員らは、誰でもいつかはミスをする立場になり得ると悟り、また銀行が根本的な問題解決よりも新しい人材の採用を優先しているのを見て、よそで職を得て去っていきました。新しく採用された従業員は内部で開発された銀行システムを十分に理解していなかったので、さらに多くのミスが発生し、また必要な知識がないことからシステムのメンテナンスにも時間がかかるようになりました。結果として、顧客が去っていき、上位50行以内に位置していたその銀行は、200位未満に転落しました。
対策
個人的には、社員のモチベーションを削がないことが重要であり、社員が各自の責任、企業の価値観、同僚の貢献の重要性を理解できるよう支援すべきだと考えています。責任や価値観、貢献の大切さは、物質的な支援、相互の敬意、明確なルールを通じて伝えることができます。
企業の情報セキュリティルールでは、何が許されて何が許されないのか、またサイバーインシデント発生時には誰が何をすべきかを、プライバシーと機密保持の観点も含めて、シンプルかつ具体的に説明する必要があります。チームリーダーは部下に対して明確に情報を伝達し、サイバーインシデントの発生中と発生後には何が問題でどのような結果(場合により罰則も含め)となったのかを説明する必要があります。こうしたことが、チームの健全な雰囲気を保ち、同じミスを繰り返さないようにするために有効です。
チームのモチベーションを保持し、サイバーインシデントの影響を軽減するために、以下が参考になるかと思います。
- 従業員向けにトレーニングを実施し、ミスを避ける方法だけでなく、どのようなミスがあり得るのかも知ってもらう。
- 社員のモチベーションを高める。
- 会社としての明確な情報セキュリティルールを作成し、運用中のルールをモニタリングする方策も整備する。
- インシデントを検知して対応するためのツールを使用する。
- 内部者のエラー、軽率またはずさんな行動、および悪意ある行為から企業を保護するシステムを実装する。
- 上記の方策を定期的に見直し、同じ人が同じミスを繰り返す可能性が低くなるようにする。
サイバーセキュリティインシデントの人的側面については、当社の最新のレポート『Taking care of corporate security and employee privacy』(企業セキュリティと社員プライバシーを大切に)でも詳細に考察しています。英語の資料となりますが、興味があればぜひご一読ください。