僕のIT活用と勝手な話

自分でクラウドサービスをいろいろ調べて、いろいろと便利な使い方を考えているうちに、このようなサービスが発展しているのは企業情報の機密漏洩に対する敷居がどんどん低くなっているのではという疑問が湧いてきた。これまではメールによる情報発信やＵＳＢメモリによる持ち出しを防止していれば十分であったのが、ファイルサーバーのようなクラウドサービスがど多数存在していて、これらをすべて規制することはほとんど不可能な状況になっていると思う。これは情報システム系をちょっと知っている人ならだれでもすでに知っていることだろう。内部に精通している人がこれらの簡単な知識を持った上で悪意を持っているなら情報の漏洩を防ぐことはまずできないと思う。

僕が務めている会社でもGoobleMailは使えないようにブロックされているけど、Evernoteなどブロックされていないサービスはまだまだ存在しているし、今後も増えてくるのでブロックしていくことでの直接的な抑制は不可能である。しかし、抑制をしている姿勢を見せることはGoogleMailをブロックすることで伝えれる。会社としては当然規制していますという考え方を伝えているのに敢えて情報を持ち出すというのは漏洩にチャレンジしていることになるよねという警告を発信するのには十分であろう。ブロックされていないから使って良いというものでは決してなく、会社内部の情報を漏洩することが禁止になっているのはもちろんのことである。

さらにこれだけ情報化が進展している中では携帯のカメラで会社内部の情報を撮影して持ち出した例もあるくらいでクラウドだけが問題ということではなく、情報機器や情報技術の問題として捉えること自体がすでに限界に来ていると思う。

と考えて行くと規制することでは何の解決にもつながらず、内部情報にアクセスできる人間をどう選定するのか？信頼している人たちにもどんな教育を施すのかが重要になってきているのだろう。意外と会社への忠誠を誓った人たちは情報が簡単に持ち出せることに興味がなく、その人の権限を部下などに簡単に与えて、その部下が持ち出すケースも聞こえてくる。まあ、忠誠を誓った人たちは性善説で話を判断しがちであり、このように人に悪意のある話を理解してもらうこと自体が難しいのかもしれないが、情報の漏えいというのはそのようなポイントか発生しているのだということを改めて認識してもらうことや忠誠を誓っている人を如何に増やしていくことが大切なのではないかと思う。

内部の人間に「目には目を」「刃には刃を」で戦ったところで解決するのは非常にむずかしい。もちろん外部からの攻撃については悪意を最初から持っている人たちなので、このようなところに教育やなどを説くことは無駄だと思う。しかし、内部からの情報漏洩についてはそれなりにその会社が良いと思い、さらにはそれなりの人材と考えて採用しているわけなので、このような教育の元で理解させていくことは重要でないかと思う。

それにしても会社が従業員を大切な財産と考えるような基盤があるのか？ないのか？あることを示して信頼を得ることが一番重要なのだと思う。ないのであれば悲しいけれどどれだけ頑張っても忠誠心がないのだから、悪意を持ってバレないように情報漏洩を行うことは１００％は防げないと思うのは間違いかな？