情報セキュリティと管理者/利用者教育
2014年11月20日(木)CIO賢人倶楽部
「CIO賢人倶楽部」は、企業における情報システムの取り込みの重要性に鑑みて、CIO(Chief Information Officer:最高情報責任者)同士の意見交換や知見を共有し相互に支援しているコミュニティです。IT Leadersは、その趣旨に賛同し、オブザーバとして参加しています。同倶楽部のメンバーによるリレーコラムの転載許可をいただきました。順次、ご紹介していきます。今回は、レイヤーズ・コンサルティングの加藤 道隆氏のオピニオンです。
先日、ある幼稚園にお邪魔した際に、園児のためのパソコンが設置してあることに驚いた。今や小中学校でもパソコンを使った授業が当たり前のようにあり、携帯電話・スマートフォンを持つ児童生徒は珍しくない。子供たちばかりではない。つい20年ほど前まで「1人1台パソコン」「オフィスのOA化推進」というスローガンが躍っていたことを思うと、昨今のICTインフラの普及には隔世の感がある。
一方で情報の不正利用に関する事件を見聞きする機会も増えた。外部からの攻撃を防ぐセキュリティ製品や、不正を発見するアクセスログ管理製品が、なかなかの盛況を呈していると聞く。
実は情報の不正利用は、極めて単純な方法で行われていることが多い。システム管理者権限の悪用である。管理者は運用や監視を行う職務のため、データやプログラムへのアクセス権限は重要情報を含めた広範囲に及ぶ。ゆえに管理者は、「正当に」情報を取得できてしまうのだ。
管理者権限を複数の管理者に分散させることで、管理者を統制することはできる。管理者を監視する要員を別途任命するようなものである。だが、これは効率性とのトレードオフになる。効率性を犠牲にして統制を厳格化しても、管理者間で結託してしまえば、この統制の効力は簡単に消えてしまう。それでも、そうすべきなのだろうか。
会員登録(無料)が必要です
- AI時代に求められるスキルセットを考察する(2024/07/11)
- “情シス子会社問題”への処方箋を考える(2024/06/12)
- QCサークル活動とDX推進の親和性(2024/05/03)
- “PoC倒れ”から脱却せよ─「アオムシは蝶になるのか」の提案(2024/04/09)
- 「デジタル」と「正義」を考察する(2024/03/12)