30秒で読める危機管理コラム

危機管理のプロの観点から時事ニュースを考察しました。

セキュリティ対策に「絶対」も「終わり」もない

通信の安全性を高める次世代の暗号技術「量子暗号通信」について、安価な汎用品で検出しても盗み見の痕跡が確実に分かる、安全性の実証方法を東京大学の小芦教授らが考案、通信装置の開発コストを約10分の1にできる見通しだ。一方で、昨年の上場企業の個人情報漏洩事故に関する東京商工リサーチの調査では、「ウイルス感染、不正アクセス」が49.5%、「誤送信」や「誤廃棄」などヒューマンエラーも46.5%を占めた。「理論上絶対に破られない」手段として「量子暗号通信」の実用化と普及を強く期待するが、機密情報の不正持ち出し事件の多発、「人の悪意」やソーシャルエンジニアリング、紙媒体など、通信に拠らない情報の保存や移転・漏洩の手段・経路も存在する。サプライチェーンマネジメントの視点とあわせ、「抜け穴」を塞ぐ企業努力に終わりはない。(芳賀)

カスタマーハラスメントへの対応要領を現場に周知せよ!

飛行機内でマスク着用を拒否し降機させられた男性や、大学入試共通テストで試験官の再三の注意に従わずマスク着用を拒否した男性が、逮捕された。いずれも典型的なカスタマーハラスメント(以下、カスハラ)だ。彼らは自己主張を正当化し、相手(企業等)が間違っているとして、不利益を受けた責任を相手に転嫁する。モンスタークレーマーと同じロジックだ。当社セミナーでは、このようなケースで、従業員から拒否や要請・指示を明確に伝え、それに従わないのは顧客の自己責任であること、拒否・要請等を繰り返し顧客が自らの意思でそれに従わないという既成事実を作り悪質性・故意性を明確にすること、がカスハラ対応の要諦と説明してきた。いずれもそのような対応をしたことで警察対応が容易になったと考えられる。ぜひ、この対応要領を心得て欲しい。(西尾)

VPN製品、Web会議サービスの脆弱性悪用のリスク1

独立行政法人情報処理推進機構(IPA)は、脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)] について発表した。注意喚起として記載されたVPN製品は、Palo Alto Networks社製のVPN(PAN-OS)、Fortinet社製のVPN(FortiOS)、Pulse Secure社製のVPN(Pulse Policy SecureとPulse ConnectSecureを含む)に関する脆弱性対策情報の深刻度別割合は、「危険」と「警告」に分類される脆弱性を合わせると95%以上を占めている。昨年は、Web会議サービスのMicrosoft社製Teams、Cisco System社製のWebex Meetings、Zoom VideoCommunications社製のZoomに関する脆弱性の深刻度や危険性が更新され、注意喚起がなされた。自社で利用するソフトウェアや機器が該当するかどうか、外部から攻撃を受けた形跡がないかも確認しておきたい。脆弱性の有無や更新情報を日ごろから収集し、ベンダから修正プログラムがリリースされた際は速やかに適用する等の対応が望まれる。(佐藤)

VPN製品、Web会議サービスの脆弱性悪用のリスク2

テレワークの推進などの後押しを受け、社外に持ち出したPC等を組織内部のネットワークに安全に接続させるための手段としてVPNを利用する機会が定着してきた。本来は信頼すべきVPNというネットワークであるからこそ、それが知らぬうちに悪用された場合のリスクと想定される被害の大きさを正しく評価する必要がある。攻撃者が一度内部に忍び込んで認証・信頼された状態であれば、後の振る舞いには手が出ない。VPN製品に限らず、日常的に活用するWeb会議システムやインターネットからアクセス可能な製品やサービス全てが抱えるリスクだ。目が行き届いていない機器の存在を把握し不正な中継点とならないよう管理・運用上の規制を機能させる必要がある。設置環境なども含め、まずは優先的に対応をとるべき機器の特定と防御すべき範囲を明確にする取り組みが急務だ。(佐藤)

▼独立行政法人情報処理推進機構:脆弱性対策情報データベースJVN iPediaの登録状況[2020年第4四半期(10月~12月)]

店舗における潜在的なロスの要因 労務関連のロス

感染拡大による2回目の緊急事態宣言から2週間が経過した。通勤等人出が減る一方で、リモートワークが難しい職種もある。代替の効かない現場に立つ従業員からのコロナ関連の内部通報が増えた。当社の内部通報窓口代行業務では、20年1月のコロナ関連の通報は、わずか1.4%だったが、1回目の緊急事態宣言の4月には最大となり45%、以降20%前後を占める。「濃厚接触者が出勤している」、「3、4時間休む間もなくレジに立たされ感染しないか心配だ」、「忙しい店舗に応援に行かされるが遠い上に時給が安い」などの声も挙がっている。潜在的にあった労務関連のリスクが噴出した形だ。店長任せで放置すれば、やがて大きなロスに発展しかねない。本来、ロスの対策は商品の減耗だけでなく、運営や労務関連のロスも対象範囲であることを今こそ認識すべきだ。(伊藤)

日弁連、感染症特措法の刑罰導入に反対声明

日弁連は22日、政府が感染症特措法の改正案を閣議決定したことに対し反対声明を発表した。文字数の都合により大きくポイントを絞ると(1)刑罰はその適用される構成要件が明確でなければならない。新型コロナの実態は十分解明されたとはいいがたく、入院措置に応じないものに対する罰金刑は、不公正・不公平な刑罰の適用の恐れが大きい(2)感染したこと自体を非難するような不当な差別や偏見を解消しないまま安易に刑罰を導入すれば、極めて深刻な人権侵害を生む(3)本来守らなければいけないはずの飲食店事業者に対する罰金刑は、まず十分な補償がなされなければいけない-の3点だ。そもそも感染症法自体、ハンセン病患者らへの差別や偏見を教訓として生まれたものだ。政府がまずすべきことは医療体制の抜本的な強化であり、罰則の強化ではない。(大越)

▼感染症法・特措法の改正法案に反対する会長声明(日本弁護士連合会)

Back to Top