2007年09月04日

社員監視時代 情報セキュリティ対策がわかる

社員監視時代 (ペーパーバックス)
社員監視時代 (ペーパーバックス)


社員監視時代というタイトルだったので、学生時代に読んだジョージ・オーウェル1984年を思い出したが、実は情報セキュリティの本だった。

1984年 (ハヤカワ文庫 NV 8)
1984年 (ハヤカワ文庫 NV 8)


いきなり個人情報漏洩事件の話から始まり、ソフトバンクBBが導入した監視ソフトSeer Innerが紹介される。(その後製品はseer innner SAという製品と二つにわかれたようだ)

このSeer Innerとは、筆者も導入したことがあるSeer Insight社(現エンカレジ・テクノロジ社)の、コンピューター端末のリアルタイム監視ソフトだ。

こんな具合に利用者の端末の操作画面が表示され、誰がどういう作業をしているのか画面がリアルタイムで監視できる。

Seer Inner 2






その社員のパソコン画面だけ大きく表示する機能もあるので、社員がパソコンでトランプゲームなどをしていると、管理者にすぐわかってしまう。

Seer Inner 3







写真出典:Seer Innerサイト


ソフトバンクBBは、このSeer Innerを導入するとともに、オペレーションルームの厳しい入退室管理に加え、ビデオカメラでの監視も実施している。

同社のSOC(Security Operation Center)では、常時十数名の社員が24時間・365日監視にあたっており、社員・アルバイトも含めた15,000台のパソコンを監視している。

リアルタイム監視といっても、網の目をくぐり抜けて不正を行う社員もいるかもしれないが、常時監視していると社員に告げることによって、過去起こったような個人情報漏洩持ち出し事件は防げると関係者は断言している。

Seer Innerの他にもAll WatcherLanScopeCatというログを、システマティックにすべて収集するソフトも紹介されている。

フォレンジック(Forensic)という聞き慣れない言葉があるが、犯罪科学という意味で、これらソフトはForensicソリューションと呼ばれている。


オフィスの生産性向上にも役立つ

社員の監視というとネガティブなイメージがあるが、マイクロソフトが提供しているIPA(Individual Productivity Assessment)と呼ばれるサービスは、ホワイトカラーの生産性改善を目指したものだ。

それ自体はあまり儲からないということなので、現在もマイクロソフトがIPAサービスを提供しているかどうかわからないが、この本でも紹介されている東洋タイヤのケースがマイクロソフトジャパンのホームページに紹介されている。

エンジニアの仕事ぶりを2週間程度カメラで記録し、それを分析して生産性改善点をレポートするというサービスだ。たとえばエクセルのコピーアンドペーストの使い方や、ショートカットの活用等で、生産性がアップする。


最大の抵抗勢力はシステム管理者!?

この本では情報セキュリティ導入の裏話も紹介していて参考になる。監視ソフト導入の最大の抵抗勢力はシステム管理者だという。

アクセスログは証拠として調査される可能性があるが、従来はシステム管理者は都合の悪いログは削除していたのだと。

にわかには信じがたい話だが、ありうる話なのかもしれない。


社員監視システムは「砂上の楼閣」

この本で参考になったのが、リアルタイム社員監視システムとかは、見た目には派手で、社員に与える不正抑止効果もあるが、LANの内部を暗号化しないと、監視している画面から情報が漏れ、セキュリティホールとなって、情報漏洩のリスクが増えるという指摘だ。

だからセキュリティは順番が大事で、まずLANに流れるデータを暗号化するのが大前提だと。

LANの中身を暗号化するソフトはフリーソフトもあるが、製品として提供しているメーカーは少ない。セキュリティ業界にとっては、LANの内部を暗号化するというのは商売にならない。

だからクライアント企業に教えず、内部情報の暗号化なしに監視ソフトを入れる「砂上の楼閣」が増えているのだと。

なるほどと思う。

情報がすべて暗号化されていれば、万が一漏洩しても本人への連絡も、監督官庁への報告も不要だ。非常に役立つ指摘である。


個人情報名簿業者の実態

もう一つ参考になったのが、個人情報を売買する名簿業者への取材だ。

この本では名簿業者大手のイアラ・コーポレーション社長にインタビューしている。

いままで名簿業者とはどういう会社か実態がわからなかったが、この本で紹介されているイアラ・コーポレーションはホームページもあり、2005年の個人情報保護法施行以降も事業を続けている。

まさに個人情報保護法に従った適法な名簿販売業をやっており、いわゆるオプトアウト方式で、削除しろと言われたら削除するというやり方で、個人情報を販売している。

同窓会や各種団体の会員名簿などリストとして販売しているものの紹介と、5,000万件のデータから希望のターゲットを絞ってリストアップするサービスがある。

イアラは元々はブレーンという会社で、ダイレクトメールなどのダイレクトマーケティングの会社だったが、ダイレクトマーケティング部門は日立グループに販売して、日立ブレーンという会社になり、リスト部門だけが残っているものだ。

イアラ社長の話で印象に残ったのが、名簿業者が販売しているデータはどれも「名前、住所、電話番号」だけだという。

つまり元データは電話帳等なので、それだけではどんな意味のある個人情報かわからないが、イアラの保有する大量のデータから名寄せして、条件にあった人をリストアップしてデータベースとして販売しているので、たとえば高額納税者リストとか、意味のあるデータとして売れるのだという。

この本は2005年発刊だが、2007年3月の経産省の最新のガイドラインでも、名前、住所、電話番号のみの名簿は電話帳と同じ扱いとなる。名簿業者のビジネスは、依然として適法なのである。

個人情報漏洩の唯一完全な対策は、個人情報を持たないことだと言われているが、特に利用価値のない住所と電話番号は、保有せずに削除して、必要な時に都度個人から取得するというのが、有効な個人情報セキュリティ対策となってくるだろう。


「1984年」現代版

最後にジョージ・オーウェルの「1984年」の現代版ショートストーリーもある。

著者の小林雅一さんは、大学を卒業して某大手電機メーカーに入社したそうだが、昼の12時ちょっと前に同期みんなで、社員食堂に行ったら、だれも皿を取ろうとしない。

みんな白線の向こうで待機しているのだ。12時のブザーが鳴って初めて、みんな動き始めたと。

これを聞いて、筆者は思い当たる会社がある。筆者も最近同社の社員食堂に行って、全く同じ体験をしたからだ。

最後に本当の監視も出てきて、なかなか面白く読める本だった。

情報セキュリティに興味のある人に役に立つ、おすすめできる本である。


参考になれば次クリックと右のアンケートお願いします。


人気ブログバナー




Posted by yaori at 00:06│Comments(0)TrackBack(0) 個人情報保護 | ビジネス

この記事へのトラックバックURL

http://trackback.blogsys.jp/livedoor/yaori/50904165