セキュリティ対策の死角をなくせ:まじめな彼はなぜ情報を持ち出した? 日銀事件に学ぶこと (1/2) - ITmedia エンタープライズ
(やまがた21さん経由)
まじめな職員で、情報持ち出し禁止ルールを承知で、業務への使命感が高くて、無断でデータ持ち出しをしていたとのこと。
だが、この職員はほぼ毎日のようにデータを自宅に持ち帰っていた。職員は自宅でも仕事をしなければならないほどの業務量を抱えてはおらず、むしろ仕事の完成度を高めるためにデータを持ち出していたという。職員はルールを承知しながらも、業務への使命感を優先して無許可でデータを持ち出していた。
管理者は、「勤務時間内に処理できる業務量のみを指示していた」といい、職員がデータを持ち出していることを認識していなかった。調査報告では、管理者のこうした意識も漏えい原因の1つになったと指摘している。
ウイルス対策ソフト入れていてもパターン更新気づかなかったとは・・・XP SP2じゃないな・・・・こりゃ。
最終更新日が2001年ってことは、初期のWindows2000か、、、もしやWindows98か?!
さらに、職員がデータを保管していたPCにウイルス対策ソフトもインストールされていたが、このソフトのウイルス定義ファイルは最終更新が2001年11 月となっており、実に6年以上もウイルス対策が放置されていたことが判明した。職員は、この状況を把握していなかったという。
日銀さんメールでの送信はどうするんでしょうねw
それとチェック体制として、個人所有PCの定期点検しちゃいますか?!
日銀が今回の事件で掲げる反省点と防止策は以下の通りである。これらの対策は決して難しいものばかりではなく、日常的に実施すれば情報漏えいの再発リスクは軽減できるものだろう。
- 職員の規範意識が不十分
- →職員に悪意はないが、ルール違反を認識した上での行為であり、ルールのさらなる明確化と職員教育の強化、外部メディアの無許可使用の禁止、機密情報資料の管理強化
- 情報流出をさせない執務環境が未整備
- →業務端末の仕様や配備の見直し、外部メディアへのデータ書き込みを制限する技術的対策の導入
- チェック体制の不備
- →全職員による個人所有PCの定期点検、管理職によるルール順守状況の確認徹底、情報流出の継続的な監視
