非正社員によるセキュリティリスク

ITマネージャーにとって注目すべき調査結果が発表された。英国のIT情報サイト「The Register」で報じられた、セキュリティ企業Websense社による最近の調査結果である。それによると、非正社員の80%以上が、社内のドキュメント、データ、ネットワークにアクセスできるが、正社員と同レベルの責任は課せられていないというのだ。

恨みを抱いた社員や退職した元社員によるセキュリティ侵害の脅威と同じで、商習慣に甘さのある企業や、厳格なポリシーを定めていない企業では、データに起こる危険によって、業務にさまざまな弊害が生じるおそれがある。会社を守るためにIT部門が講じることができる対策について、4つのヒントを紹介しよう。

システムやネットワークへのアクセス権は出し惜しむ。 データを保護するうえで最も明快な解決策は、本当に必要な人に対してのみアクセス権を与えることだ。臨時の事務職員が会社のコンピュータの中を物色できるようにする必要があるだろうか。あるいは、ひと握りの紙の情報を渡せば十分ではなかろうか。たとえば、電話に応対する社員に、コンピュータの画面で内線番号を調べさせるのではなく、内線番号の一覧表を印刷して渡すことはできないだろうか。

社内外の防御を固める。 非正社員が契約満了になったときや、正社員が退職したときには、社内のすべてのインフラストラクチャについて、その人が持っていたアクセス権を直ちに削除することだ。会社の電子メールやネットワーク・パスワードはもちろんのこと、WikiやWebサイト、トラフィック分析などのアウトソーシング・サービスも忘れてはならない。長年にわたり会社に貢献してきた社員や、信頼の置ける季節社員に対し、すぐに扉を閉ざしてしまうのは、気まずく思うかもしれない。だが、すべての従業員に同じポリシーを例外なく一律に適用することが、まぎれもないベストプラクティスである。ここで役立つのが、BNET.com(ビジネス・マネジメントや戦略をテーマとしたWebサイト)に掲載されているチェックリストとフォームだ。これを活用することで、社員の退職時の対応について、信頼の置ける包括的なポリシーを確立できよう。

コード・レビューを行い、グループとしての成果物をリリースする。 いかに信頼の置ける人材が揃っている場合でも、相互チェックとバランス感覚が作用するような制度を確立しておくことが肝心だ。少なくとも2人の人間が関与しないとコードをリリースできないようにしておこう。Intranet JournalでP.G. Daly氏がこんな事例を紹介している。「USB Paine Webber社であった事例である。ある社員が、会社への恨みから、ロジック爆弾を仕込んだ。その結果、2,000台以上のサーバがダウンしてしまい、甚大な被害が生じた。4年たった時点でも、被害は完全には復旧していない」。

定期的に監査を実施する。 社内で監査を実施するにせよ、外部に委託するにせよ、定期的に監査を行って、システムの異常な挙動をできるだけ早い段階でとらえることが大切だ。臨時社員や季節社員がどっと押し寄せる企業では、不正な動作を監視するための策として、監査はとりわけ重要である。

IT Manager’s Journal原文