厳重に情報を守らなければならない環境では「職務の分割」

最近のオープン系のクライアントサーバシステムでは開発担当者がそのまま維持・運用を担当しているケースがよくある。昔のメインフレームの世界では、開発担当者と運用担当者が明確に区別されていたが、それが崩れてきているように見える。

確かに、業務効率の面ではシステムの仕様を熟知している開発担当者が運用を担当すれば最適に思える。きっちりと変更仕様を示さなくても、適当に修正してくれるかもしれない。しかし、性善説でうまく回っている時はよいが、競争の激化、雇用環境の変化を考えると不正防止の観点は必要である。そのために「職務の分割」が必要となる。

電化製品を買いにお店へ行くと、日本では製品の説明からお会計、品物の引き渡しまで1人の店員さんが対応するのが普通だ。しかし、盗難・横流しなどが多いある海外の国では、セキュリティ対策として、「1. 売り場で製品の説明・値段交渉をする店員」「2. 支払い処理を担当する店員」「3. 引渡しをする店員」に分割し、それぞれの持ち場で仕事をしている。

1の店員から品物の型番、数量、金額が書かれた伝票を受け取り、2の店員のところで支払いを済ませて、伝票に「支払済」印をもらい、3の店員のところで品物を受け取る仕組みである。要件を満たした伝票が無いと、次の手続きに進めない。伝票にもとづかない作業が発見されれば、各店員にはペナルティが課せられる。このようにしてセキュリティを高めているのである。

この日本では馴染みの薄い「職務の分割」は慣れると違和感無く実行できる。人件費の高い日本でこれとまったく同じ仕組みを導入することは容易ではないが、厳重に情報を守らなければならない環境においては万が一にも間違いを起こさないために考慮すべきポイントであるといえよう。

セキュリティポリシーは各自が取り組むべき課題だ

業務の効率を優先したい現場の担当者にとって、セキュリティはお荷物や足かせであるようにみえるかもしれない。またセキュリティ部門が担当する他人事のように見えるかもしれない。

しかしながら、一度事件・事故が起こってしまうと日常業務もままならないほどの損害を招いてしまい、担当者についてもその責任が厳しく追及されてしまう。逸脱申請をしたような場合には、担当者本人として「セキュリティ的に無防備になった」ぐらいに考えた方がよい。

そう考えるとセキュリティのルールは自らを守るためのものでもあり、誤操作・ミスが生じた場合でも影響が拡散しないようなタフな仕組みを構築しておかなければならない。したがって、セキュリティポリシーは各自が「絶対に情報漏洩は起こさない」といった緊張感を常に持って、取り組むべき課題なのである。そのため例えば、従業員が目につく場所に、セキュリティ意識を喚起するポスターを貼るなどの具体的な策を行うのも効果的である。

さて次回はセキュリティポリシー上、コレだけはやってはいけないポイントをまとめ、望ましいセキュリティポリシーの姿を探ってみたい。 タイトルへ戻る