事件な不正行為は内部で起きている!
ヤフオクの元サポート担当者逮捕、落札者になりすまして不正取引 :INTERNET Watchより
委託先企業の従業員だったようだ。カスタマーサポートでオークションの苦情対応を担当していたらしい。
ネットオークションの市場規模は野村総合研究所によると2005年で、1兆3400億円あった。ちなみに健康食品市場も同額らしく、トヨタの純利益も同額のようだ。
ようは、インターネットの取引の中でもオークションの割合はとても高いのだ。
yahooはオークションでも最大規模。利用者も売り買い含め便利な存在だ。
今回の事件では、yahooオークションのカスタマーサポートで発生した問題だが、これはyahooだから起きたのではなく、単に取り扱い高と担当する人間の数が多かったために起きたこと。
ここで考えたいのは、内部データや直接顧客とやりとりする人のセキュリティ対策になるだろう。
もちろん技術的な対策はしてあった事だろう。しかし、それだけでは見えない、それ以外の状況も考え対策を考えなければ、最終局面での防止は難しい。
孟子的に言えば、性善説で起きていることだろう。もしそうであれば、事前に巻き込まれないような体制を作ることも必要になる。
荀子的に言えば、性悪説で起きる事になるので、悪事が出来ないようにガッチリと監視体制下に置くことになる。
犯罪の防止だけを考えれば、荀子的方法が手っ取り早く早いだろう。しかし顧客を相手にサービスの提供をするのだから、そんな環境では良い仕事も出来ないだろう。
抑止効果の高いことを技術的側面と人的側面から対策することで、発生の軽減を図ることが出来るだろう。
情報セキュリティのマネジメントは、ISMSなどの社内の評価規定だけがすべてである。と言われたことがあるが、もしも本当にそれがすべてであるならば、今回の事件は防げたのであろうか?
今一度、今回の事件を元に根本的な原因を考えて頂きたい。
現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?
技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。
一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。