情報システム部門が対応できない部分（下）

　企業の情報システム部門では、社内システムの安全に目を光らせている。ウイルス対策、不正アクセスなどの製品やサービスを導入して業務に悪影響を及ぼさない努力をしている。残念ながら、情報システム部門でも、対処できない部分がある。後半では、インシデント（情報システムに関する事件、事故）の対処を取り上げる。

フォレンジック分野における情報システム部門の限界

　情報セキュリティ対策には、インシデントに対して、事前対策と事後対策に分けることができる。事前対策としてウイルス対策ソフト、ウェブコンテンツへのアクセス制限ソフトなどが知られている。こちらは技術的な解決手段の大半が情報システム部門で対応することができる（技術的な問題解決以外の方法としては、マネジメント面の対策が挙げられる）。

　その一方で、事後対策としては、フォレンジック対策、災害復旧、業務継続がある。事件が起きる前に準備することが可能だが、実際に事後対策を行う場合には、状況によって、情報システム部門が直接関与できない（すべきでない）ことがある。ある企業で社内システムに対して不正なアクセスが行われ、損失が出た。その場合、経営者は、情報システム部門に指示を出す、ということが一般的な解決手段と思うだろう。実際には、不正アクセスできる証拠が見つからないことも少なくない。次のような理由は、過去の事件からも明らかだ。

・証拠を取っておくシステムの運用が行われていなかった
　（馬鹿馬鹿しい話だが、意外に多い。インターネットで誰でも入手できる事件の大半はこれだ）
・証拠は取っているが、時間が経ったので消去して残っていない
　（システムの設定が、運用を考慮していない場合に発生することが多い）
・不正アクセスを行った者がそもそもいなかった
　（不正アクセスに該当しなかったケース、システムの設定ミスに起因するケースなどがある）
・不正アクセスを行った者が証拠を残さない技法を使用した
　（ちなみにこのような技法は数十パターン以上存在する）

　このようなケースは実際にセキュリティ事故を解決する場面で出くわす。そして忘れてはならないのは、

・不正アクセスを行った者が情報システム管理者であった

　と、いうケースだ。つまり内部に犯人が存在する場合だ。社内の調査には限界がある。つまり情報システム部門にも限界が存在する。このようなケースは急増している。不正アクセスなどに対して、裁判の証拠として残せる専用システム（フォレンジック・ツールと呼ばれる）を導入しても、利用する者が悪さをしていれば、意味がない。経営者は、情報システムのセキュリティを確保するにあたり、システム部門の限界を知っておく必要がある。

内部犯行への適切な対処

　個人情報の漏えいが起きると、経営者は、社員を信じていた考え方を改めることが多い。よく言われる「性悪説」に傾く。しかしながら、実際にインシデントに遭遇すると、不思議なことに情報システム部門に頼る。この根本的な原因の一つに、セキュリティ技術力のないコンサルタントや専門家がマネジメント面でのみアドバイスを行ってることが背景にある。苦手な情報技術、セキュリティ技術は、情報システム部門に任せてしまうのである。この結果、情報システム部門に事後対応も頼ることになる。

　情報システム部門の者が不正に関与すると、証拠は消されていると考えるのが妥当だ。犯人自ら証拠を消去することもあるし、社内システムが自動的に古い証拠を消去する期間を知っているので時間に合わせて行動している場合もある。経営者は、企業を守るために適切な対応が求められるが、情報システム部門内に原因がある場合、情報システムに相応の理解力、事故解決能力を持った専門家を探さなければならない。しかも、情報システム部門の者に知られず、調査できる人物でなければならない。実際のインシデントでは、そうした人物の登場となる。

経営者だけが持つ切り札

　経営者は、情報システムの安全性確保において、情報システム部門ともう一つの切り札を用意する必要がある。情報システム部門のセキュリティ対策が不十分と言っているわけではない。セキュリティを確保するには相互に監視する視点が大切なのである。それが情報セキュリティに詳しいコンサルタントでも構わないし、警察でも良い、組織の中に問題があった場合、それを発見し、取り出すのは客観的な視点と行動が求められるからだ。このようなインシデントが発生することは、企業にとって稀かもしれない。セキュリティ対策とは、そのような万が一の場合に備えるものだ。「情報システム部門が対処できない部分が存在する」、それだけ知っておけば今はいいかもしれない。