情報漏洩防止に資する「人間系対策」の薦め

CIO Lounge正会員・山内 憲二

 情報セキュリティの強化は、現在のIT部門が直面する重要課題の1つでしょう。IT Leadersのような企業IT専門メディアには、ランサムウェアや標的型攻撃メールといった不正アクセス対策として、侵入防止・不正侵入検知システムやサイバー攻撃防御システムといったテクニカル面の記事や製品解説が多く取り上げられています。

 情報処理推進機構(IPA)がまとめた「企業がセキュリティ対策で気をつけるべき情報セキュリティ10大脅威 2022」を見ても、トップ5は以下のようになっています。

1位 ランサムウェア(前年1位)
2位 標的型攻撃による機密情報の搾取(前年2位)
3位 サプライチェーンの弱点を悪用した攻撃(前年4位)
4位 テレワーク等のニューノーマルな働き方を狙った攻撃(前年3位)
5位 内部不正による情報漏洩(前年6位)

 テクニカル面の対策は待ったなしであると言え、実際に読者の皆様も力を注いでいることでしょう。一方、2021年に上場企業とその子会社が公表した個人情報漏洩・紛失の原因(東京商工リサーチ調査)を見ると、それだけでは不十分なことがわかります。原因の約半数が誤表示や誤送信、紛失、誤廃棄、盗難など人間系なのです。外部からの不正アクセスによる場合も、真の原因がシステムの環境や権限の設定誤りといった、人間系によるものが含まれています。

 ゼロトラストの考え方(すべてを信頼せず検証する)からすれば、テクニカル面の対応にコストをかけて仕組みを構築しても、それだけでは万全とは言えません。考えうる仕組みを構築した後、それを管理し、操作し、点検するのは人間の役割です。そこで人間系の対策について、5項目のコメントおよびチェックポイントを記してみます。

①システムの委託先(委託先の技術者又は個人事業主)

 内部不正の場合に最も多い事例です。委託先の技術者または個人事業主の一部が、社員と同じように本番システムにアクセスできる環境にある場合、以下のような社員以上の管理が必要です。

●業務で取扱う、または見聞きする情報(機密情報、個人情報を含む)の取扱いについて、覚書などを取り交わしているか?

●情報の守秘義務についての誓約書を取り交わしているか? その中には守秘義務違反の場合の罰則や賠償責任事項が盛り込まれているか?

●社員と同等の情報セキュリティ教育を定期的に実施しているか? また順守すべき事項を明確化し、徹底策を講じているか?

②システムに対するアクセス管理(権限設定、見直し、ログ点検)

 内部不正を未然に防ぐ、または発生した場合に早期に特定するための対策です。テレワークが常態化していることもあり、事務所以外からのアクセス状況を把握することも重要です。さらにアクセス管理や点検の実行者が不正を見逃さないよう、複数人で行う必要があります。

●本番環境および本番データにアクセスできる権限を付与する場合、権限設定理由と見直し時期について、管理者の承認を得ているか?

●権限を付与された者が当該システムの担当を外れる場合、その情報が速やかに連携され、速やかに権限を取り消す仕組みがあり、実施されているか?

●本番環境および本番データにアクセスしたログを取得し、定期的に複数人で点検しているか?

●点検する項目の基準(時間外のアクセス、ダウンロード、アクセス場所など)を決めて、一定期間保管しているか?テレワーク者のアクセスログも点検しているか?

③バックアップ

 万一、不正侵入された場合にバックアップデータに影響が及ばないようにしておくこと、またクラウドサービスを利用している場合、バックアップデータの保持や復旧作業の責任分担を確認しておく必要があります。

●バックアップ用の機器は必要時(バックアップ作業時)のみネットワーク接続し、それ以外の時間帯はネットワークから切り離しているか?

●クラウドサービスを利用しているシステムのうち、特に重要なものは自社または他のサーバで定期的にバックアップしているか?

④物理デバイス/機器の廃棄・返却

 廃棄業者などによる不正転売があっても情報漏洩しないような対策が必要です。

●情報が入ったPCなどの内蔵ディスクを物理破壊、または消去専用ソフトでデータを消去(上書き)したうえで、廃棄専門業者またはリース会社へ渡しているか?

●渡し先から廃棄証明書などを受領しているか?

⑤電子メール送信

 情報漏洩で最も多いのはメールの誤送信です。間違えたメールアドレスに添付ファイルのパスワードを別メールで送付することがないよう留意する必要があります。

●メールに非開示情報を添付して送付する場合は、パスワードを設定しているか?そのパスワードは予め取り決めたパスワードにしているか?

●メールで複数人に同報発信する場合、宛先のメールアドレスはBCCとしているか?

 テクニカル面に加えて、以上のような人間系の対策を講じても、情報漏洩が発生する確率はゼロではありません。発生した場合、調査および改善対策費用や被害者への見舞金、復旧するまでの期間に得られなかった営業利益など、多額のコストがかかります。万一に備えて、サイバー保険への加入を検討することもお勧めします。保険料はケースバイケースですが、卸売業を例にすると売上が年間5億~10億円なら、保険料は40万~50万円です。

筆者プロフィール

山内 憲二(やまうち けんじ)

福井県出身。1980年に住友海上火災保険(現三井住友海上火災保険)に入社。ほぼ一貫してシステム部門に在籍し、会社合併・経営統合に伴うシステム統合プロジェクトを2度経験。2014年よりMS&ADシステムズで、グループの生損保会社のシステム全般を担当。2019年に退任後は、複数IT会社の顧問およびプライバシーマーク審査員として活動。CIO Loungeには2022年より正会員登録。65歳。趣味は、週一のゴルフ、軽登山&日帰り温泉、B級グルメ巡り。