三菱電機の情報漏洩事件で考える中小企業で有効な情報セキュリティ対策
三菱電機の情報セキュリティ事案について、詳細な状況のほうどうがありました。
それによれば、防衛省の機密も一部流出したようです。
紙媒体で保管するよう規定されていたものを、スキャニング等で電子媒体で保管していたとのことです。
防衛省の装備品の購入に関する秘密レベルは4段階で、そのうち一番上は日米安全保障条約に基づく秘密で米軍も絡んでる話で防衛省が決められる話ではない。
ということで、防衛省が定めている装備品に関する秘密レベルは、実際には3段階になります。そして、一部の報道によれば、防衛省の秘密は、紙媒体でしか保管してはいけないと指定されたものだということなので、レベル2の「省秘」とよばれるものだろうと推察できます。
省秘は、取り扱うことができる部屋と人が指定されていて、部屋への立ち入りは記録し、定期的に防衛省の監査を受ける必要があります。このような体制で取り扱われる紙媒体が、スキャンされ社内ネットワークに保管されることなど、通常はありえません。
これはもう、意図的に規則を破っていたという時点で、内部不正といってもいいでしょう。
おそらくは、情報を確認するたびに、消費を取り扱う部屋に立ち入るのを面倒くさいと思った担当者が、こっそりと紙媒体を部屋の措置に持ち出しスキャンしていたということでしょう。
残念ながら、三菱電機のような情報セキュリティに関する先進企業でも、秘密取り扱いに関する社員の意識はまだまだということがわかります。
以前にも、防衛産業の会社で情報セキュリティ事案が発生した時、規定に従わずに大事な情報をサーバーに入れていたケースがありました。
どんなにテクノロジーで防御していても、運用がしっかりしていないと、情報は弱いところをついて必ず漏れるということです。
IPAの2020年重大脅威を見ると、企業における情報セキュリティリスクの第2位に「内部不正による情報漏洩」がランクインされています。
つまり、内部不正、つまり社内の規定を守らずに秘密を取り扱っている例は、かなり多いということです。
テクノロジーではなく、社内の文書管理体制と日頃の教育体制が、情報漏洩対策にはとても重要であるということが、今回の事件からわかります。
中小企業の情報セキュリティ対策は、高価なIT機器やサービスの導入ではなく、文書管理の徹底が重要なのです。
三菱電機、不正アクセス事件の詳細を公開、攻撃者は「ファイルレスマルウェア」で中国拠点から感染を拡大
Follow me!
