□□県○○市の市民税課受付窓口では、市民と対話をしながら窓口用のパソコンに係員が申告内容を入力している。
市民税の問い合わせや申請が多くなる時期になってきた。通年どおり窓口を増設して対応しようとした職員が係長に要請をあげた。
係員:「係長。これから忙しい時期なので、入力用端末のノート型パソコンを増設してもらいたいんですが」
係長:「まぁ…仕方ないな。他の業務で使っているノートパソコンを窓口に回そう」
係長はこの要請を受け、他業務で使用していたノート型パソコンを窓口でのデータ入力用端末として利用することを許可した。
同じ頃、市の会合で隣県の市民税課がセキュリティ事故を起こした事を知った課長は、「うちの課は問題ないだろうか」と思い、再度確認するため現場での緊急調査を実施した。数名の職員と係長にヒアリングを行ったところ、そのノー ト型パソコンの運用に驚愕した。
職員A:「申告内容を入力しているノート型パソコンを他の業務にも使っていました…。」
職員B:「最近すごく忙しかったので、このノートパソコンを自宅に持ち帰っての残務処理に使っていました…。インターネットやメールも…。」
職員C:「このパソコンは、入力専用端末でインターネットに接続しないんですよ、だからウィルス対策ソフトはインストールしていません…。」
実態を目の当たりにした課長は、すぐさま係長と数名の職員とで、今までの運用でなにか事故が発生していないか、今後の運用のルールはどうしていくのかを話し合った。
課長:「このままの運用を続けていたら、いつ事故がおきてもおかしくなかったな…」
課長は、背中に寒いものを感じた。
パソコンを利用した業務はもはや当たり前のことですが、まだまだ運用ルールが定まっていないところは多いと思います。この場合は、まず業務に利用しているパソコンのログ情報などを収集し、運用ルールを定め、改善していくことが大切です。
SKYSEA Client Viewでは、パソコンの操作ログやアプリケーションのインストール状況などのさまざまな情報を把握できます。そして、定めた運用ルールに従って、不適切な利用を注意表示(アラート)できるように設定でき、管理者にメールで知らせてくれます。情報セキュリティ事故を未然に防ぐためにも、これからはソフトウェアを利用した運用が重要です。
※情報セキュリティ事件簿は実際にあった事件を元に構成したフィクションです。