3.米国のインサイダー対策の弱点

 筆者は、米国はスパイ対策には強いが、インサイダー対策には弱いと見ている。その理由を次に述べる。

 米国では、一般に外国人を対象とするスパイ対策の場合は、FBIという専門の組織があり、通信傍受(電気通信による通話の傍受、手紙やEメールの開封)や、家または車の中での盗聴、尾行などの手段を用いることができる。

 これらの手段は、個人(調査対象者)の意思に反して、身体、住居、財産等を侵害し、ひいては、個人のプライバシーや人権の侵害を生じるおそれがある強制処分である。

 しかし、犯罪の捜査・防止という公共の福祉の要請に基づき、一定の要件の下でのこれらの強制処分は許されるものと解されている。

 また、米国の法執行機関の要員は、外国のスパイを敵視し、検挙に躍起になっていると筆者は見ている。

 一方、自国民を対象とするインサイダー対策の場合は、対策指針は政府機関が作成するとしても、対処する専門の政府機関はなく、それぞれの組織自らが対処しなければならない。

 そのうえ、米国のような民主主義国では個人のプライバシーや人権の尊重が最大限要求される。従って監視カメラの設置や持ち物検査も最小限となるであろう。

 他方、ロシアや中国のような専制主義国であれば、持ち物検査や身体検査も最大限にできるであろう。

 さらに言えば、インサイダーは組織を攻撃したいと思っている部外者よりもかなり好都合な立場にある。

 例えば、無許可のアクセスを防止するためのファイウォールやIDS(侵入検知システム)、電子的な建物へのアクセスシステムなどの物理的および技術的対策を回避することができる。

 さらに、インサイダーは組織が使用しているセキュリティポリシーや手順、技術などを知っているだけでなく、しばしば順守されていないポリシーや手順、さらに悪用できるネットワークやシステム上の欠点など組織の脆弱点を知っている。

 このようなインサイダーは組織にとって厄介な脅威である。

 次に、日本のインサイダー対策について述べる。

 日本における企業秘密(個人情報)の漏洩事件もほとんどが従業員や元従業員のインサイダーによる犯行である。

 また、日本にもインサイダーによると見られる世界を舞台とした国家機密流出事件が発生している。

 2010年10月28日、警視庁公安部資料114件がルクセンブルクからインターネット上に流出した。

 流出した文書は、国際テロ捜査を担当する警視庁外事3課のほか、警察庁や愛知県警などが作成したとされる。

 流出した情報が保管されていたサーバーは外部のネットとは接続されていないため、警察の内部の人間がデータをパソコン上から記憶媒体に移して外部に持ち出した可能性が高いと見られている。

 すなわちインサイダーによる犯行であると思われる。

 当該事件は被疑者不詳のまま、2013年10月29日に公訴時効が成立している。

 さて、米国でも日本でも、多くの組織は外部からのアクセスまたは妨害から情報を保護することに注意を集中するが、その一方でインサイダー脅威を軽視する傾向にある。

 どんな上司でも、部下を疑うことをよしとしないであろう。しかし、人間は弱いものである。

 昨日まで忠実だった従業員が、翌日にはインサイダーとなる場合もある。従業員は、環境の変化に影響されやすく、それが態度や行動の変化として現われる。

 従って、ライン管理者は、潜在的なインサイダー脅威であることを示すあらゆる変化または疑わしい行動を察知するために、採用後も部下の態度と行動を観察し続けなければならない。

 それと、教育である。

 教育を通して、セキュリティは重要であり、それは各個人の責任であるという心の持ち方を従業員に浸透させることが重要である。

 インサイダー対策には、まず適切な技術的な情報セキュリティ対策を講じた上で、ライン管理者の部下の掌握や教育などの地道な努力を継続するしかないであろう。