著者: Simon and Judy

企業にとって業務の効率はなにより優先するべき事項であり、スノーデン (エドワード・ジョセフ・スノーデンはCIAとNSAに勤務していた米国の情報工学者で、2013年カーディアン誌を通して米国国内の通話観察記録とPRISM 監視プログラムなどNSAの様々な機密文書を公開した。) 事件が起きた現在も米国企業の流出防止システムは相変わらず緩い状態がほとんどです。

会社で誰かが業務に大きな制約をもたらす可能性のある流出防止システムを導入しようという提案をしても、この意見は無視される可能性が高いのです。

さらにこのような主張をする人々は米国の業務文化を理解していない人だと見做されてしまう可能性すらあります。

しかし、以下の米国企業と日本企業の業務提携環境で発生したセキュリティ事故をみると、米国が業務効率を重視する企業文化を持っているという理由で企業の業務データに対するセキュリティの危険を軽視することはできないということを明確に知ることができます。

以下の話はシリコンバレーで実際に起きたセキュリティ事件を再構成したものです。このようなセキュリティ事件の事例をきっかけに情報保護システムが企業自体の機密資料保護のための信頼の根幹であるだけでなく、パートナー企業のデータを安全に保護するためにも必要な要素であることを再確認していただければ幸いです。

ジョンはここ3年間で急速に成長している多国籍日本企業A社に勤務しています。彼は日本の研究開発センターで行われている新製品開発プロジェクトの構成員であり、パートナー企業と共同作業を行うためシリコンバレーに出張に行くことが多いです。

ジョンが務めるA社は強力なデータ保護システムを導入したことで業務の制約事項が多い会社でした。例えばジョンは個人用データ保存デバイスをオフィスへ持ち込むことが禁止され、セキュリティ担当者の認証なしにはデータを外部へ送ることもできませんでした。

また、社内で使用されるすべてのデバイスはパスワードを設定して使用するように規定されていました。

ジョンの次回の出張はシリコンバレーにあるB 社での業務でした。B社はシリコンバレーにあるA社のパートナー社であり、今回の出張でジョンはB社のエンジニアと共にこれまで2年間をかけ、数百名のエンジニアが参加して開発された製品の結果について論議することになっていました。

また、これを通じて6か月以内に発売する新製品についての計画の仕上げをする予定であり、彼にとって今回の出張は非常に重要なものでした。ジョンはセキュリティ管理者の承認を受け、今回の出張の際、B社のエンジニアたちとの会議に使用するため会社の機密資料が保存されたノートPCを持ち出すことができました。

しかしノートPCには会議用のデータ以外にも他の機密資料も保存されていたためノートPCを紛失した場合、会社に膨大な被害を与える可能性があったため、ノートPCを持ち出すかどうか何度も悩みました。

さらにノートPCを持ち出す場合、ノートPCにインストールされたデータ保護プログラムが動作するためにはインターネットに接続されている必要がありますが、インターネットに接続できなかった場合、持ち出したノートPCを出張先での業務に使用することができませんでした。

結局セキュリティ管理者はジョンに紙でデータを提供し、ジョンに会議が終わったら提供した資料は廃棄するように誓約書にサインをさせました。

シリコンバレーでの出張初日、会議は順調に行われました。
ジョンが日本からノートPCを持ってこなかったため、B社の社員であるトムがA社の代わりに会議記録を作成しました。

また、トムはジョンが会議のために持ってきた紙の資料も会議期間中に保管していました。最後の会議が終了後、ジョンが最終会議記録を受け取り、紙の資料を廃棄しました。
2次会議の後、ジョンはこれまで2年間の作業を通して会社が期待していた結果を得ることができると確信し、会議終了後、この報告を行う考えでした。

しかし、ひとつだけ気にかかっていたことはB社の社員であるトムが会議用のハードコピーの機密資料やその他の機密資料が保存されている個人のノートPCを自宅に持ち帰り使用しているという点でした。

ジョンも以前ならばトムのように場所にとらわれず仕事ができる環境がうらやましくもありましたが、トムが機密資料を紛失しないか心配になってきたのです。

ジョンはB社にもA社のデータ保護規定を順守するように要求したかったのですが。文化的な違いを考慮し結局その話すらしないことにしました。

出張最終日、ジョンとトム、そして残りの会議参加者たちは夕食を食べ、満足のいく会議結果について話を交えていました。

車はレストランの近くの共有駐車場に駐車しましたが、食事が済んだ後問題が発生しました。彼らが駐車していた自動車のガラスが割られ、会社の機密資料が入ったノートPCそして、ハードコピーとして持ってきた紙の資料まですべて盗まれてしまったのです。

警察へ届け出ましたが、よくある盗難事件なので紛失した物を見つけ出すのは難しいだろうという話でした。

ジョンができることは盗難事件の犯人が産業スパイでないことを祈るのみでした。
このような企業の機密資料はその価値が高いため産業スパイの間で取り引きされる可能性が十分にあるためです。
A社とB社は今回の事件が外部へ漏れないことを願うしかありませんでした。

万一ライバル会社が盗まれた資料を入手し、類似品をA社より先に販売してしまったらその製品がA社とB社のデータを収集して開発した製品だということは誰も見抜くことができないためです。

この盗難事件の場合、B社がA社のような強力なデータ保護システムを導入していなかったということが問題の原因となりました。トムの業務効率が重要だったとはいえ、盗難に遭ったデータの価値ほど重要ではなかったはずです。

そしてジョンは内部情報の流出防止システムに慣れたためこのような保護システムが業務効率を低下させるという考えはあまり持っていませんでした。

万一米国の人々が考えるように強力なデータ保護システムのせいで業務効率が大幅に低下するのなら、A社がこのような保護システムを導入していたのにも関わらず、どうやって急速に多国籍企業として成長することができたのでしょうか?

これでジョンは今回の盗難事件を会社の上司やセキュリティ管理者に報告しなければなりません。
おそらく会社ではB社にA社とのパートナー関係を維持するにはA社の厳格なセキュリティ規定を順守することを求め、それが守られない場合、A社は自社のセキュリティ規定を順守する他のパートナーを探すこととなるでしょう。

A社はB社とパートナーシップを通して多くものを得てきましたが、結局B社の脆弱なセキュリティシステムにより補償することのできない数千億円の価値があるデータを失ってしまったのです。

原本リンク: http://www.secudrives.com/archives/19888/

mautic is open source marketing automation