その可能性がゼロではないからこそ、企業のセキュリティへの取り組みに関して「ゼロトラスト」という戦略が近年注目されている理由の1つとなる。その名のとおり、あらゆるものから信頼を排除して、すべてのものに対して必ずセキュリティチェックを行うという考え方を指す。近年では、クラウド利用やテレワークによって、企業の重要な情報がさまざまな場所に点在して内部犯行の危険性を高めていることも、ゼロトラストが必要といわれている要因の1つだ。
競争力にもなる情報は脅威にもなる
ゼロトラストの話をすると「性悪説は間違っている」といった話をする人たちがいる。具体的には、重要な社員を常に疑い続けるという発想自体が間違っている、受け入れられないというものだ。自分個人や勤務先が日々関係する人々を疑いたくないのは、人間の心情として当然のことである。
しかし、ここでは企業として何を重要視するのか、つまり人間の心情を優先するのか、それとも企業の競争力や顧客といった情報の主体を守るのかがポイントになる。それがセキュリティであり事業継続というものだ。セキュリティの観点で、機密データに対する社員1人ひとりの動きを常にチェックしていなければ、例えば退職届を提出した前後にこれまであり得なかった種類と量のデータへのアクセスやダウンロードといった不審な動きも見つけることは困難だ。
「その情報を見せて」「あのファイルのアクセス権をちょうだい」といった発言を、業務上必要ではない人物からいわれた経験がある方々は少なくないのではないか。実はこの何気ないやりとりも同様にリスクになる。機密データに対しては「必要最低限の人物」に「必要最低限のアクセス権限」しか与えないことも、ビジネスや情報の主体を守る上でのポイントになる。例えば、データの閲覧はできたとしてもダウンロードやコピー、転送はできないようにする、あるいはそのデータの閲覧自体をできないようにするといった対応になる。
情報はビジネスの大きな競争力になると同時に、正当な権利を持たない人物や組織の手に渡ることでビジネスの大きな脅威にもなる。その漏えいは企業に対する社会的信用の低下だけでなく、顧客離れによる売上低下や株価の下落、訴訟や損害賠償、最悪の場合、当該事業の停止といったさまざまな影響が出る可能性がある。
今回のかっぱ寿司における事案から、特に経営者や意思決定権者には、自社の競争力の源となる機密情報や顧客から利用させてもらっている個人情報など、自社を含めた主体にとって情報がもつ重要性を改めて評価することが必要だ。さらに、その情報が侵害されないために例えばゼロトラストのようなセキュリティ戦略に基づいて、必要な取り組みを積極的に推進していただきたい。