寒々

わが国を守るある組織の人間が、私物パソコンに機密データを入れていて、ファイル交換ソフトによってそのデータがネットに流出したというニュースを見ました。
そういうことをする人間はどこの組織にもいるわけで、それに対しては特に何も思わなかったのですが、その組織の幹部のコメントに少し驚いてしまいました。
「職場の私物パソコンからファイル交換ソフトを削除、私物パソコンで秘情報を取り扱うことを禁ずる――などの通達後に私物パソコンを仕事に使っていたわけで確信犯だ。現在は解除されているとはいえ一定期間秘密指定されていた情報まで私物パソコンに保存するなど論外で、言い訳のしようがない」
その不祥事をした人間の意識を責めるコメントとしては間違いではないのですが、これをその組織の幹部が言っているから首を傾げたくなるのです。わが国を守る重要な情報を持つ組織のセキュリティはどうなっていたのでしょうか。
例えば、
・その組織の中に私物パソコンの持ち込みはさせない。
・その組織のネットワークと外部ネットワークは切り離す。
・その組織のネットワークからは、情報をメディアに書き込んだり、持ち出したりできない。
・登録されたパソコンしか、その組織のネットワークにつなげない。
などといった基本的なことだけでもされていれば、そんなに簡単に個人パソコンに情報など入れられなかったでしょう。
私は、わが国を守る重要な組織で、そんなに簡単に個人パソコンに機密情報を移すことができ、それを個人の資質の問題として非難する幹部に、とても不思議な違和感を感じたのです。私の感覚では、セキュリティをきちんと考えているのならば、そもそも職場（あるいは組織のネットワーク）に私物パソコンなど入り込むことはできないはずなのに、と思ってしまうわけです。高度なハッカーが苦労して機密情報を盗んだというのなら、まだ平静に見ることができますが、私物パソコンで簡単に機密情報を持ち出せるというのは、冗談を通り越して寒々と恐ろしさすら感じます。
セキュリティは、内部に悪意を持った人間がいたならという前提で考えるべきもので、たとえ悪意を持っていてもそれができないしくみにするのが大切だと思うし、それをやるのが幹部の役目、責任だと思うんですけどねぇ・・・。