SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2022レポート(PR)

改正個人情報保護法の施行で注意すべき点は? 個人情報データ保護とログ監視を軸に実効性の高い管理を実現

インシデント時だけでなく、平時から把握しておくべき3つのポイント

 近年従業員の労働環境は大きく変化し、オフィスに縛られずに働くことが可能になった。従業員の自由度や利便性が向上することにより、管理者はよりセキュリティ環境を高めていくことが求められている。さらに2022年4月に改正個人情報保護法が施行され、情報漏洩が発生したときの報告が義務化された。こういった新しい労働環境で、どのようにセキュリティの課題に取り組むべきか、アルプス システム インテグレーションの松下 綾子氏が語った。

改正個人情報保護法の施行で注意すべきポイント

 日本人の働き方に大きな変化が訪れている。働き方改革の波および、在宅勤務やコミュニケーションツールの拡張等が実現したことで、従業員の視点からは自由度の拡大および利便性の向上が図られることとなった。

従業員の利便性向上はセキュリティ面の問題を抱えることになる
従業員の利便性向上はセキュリティ面の問題を抱えることになる

 しかしその一方で、システムの管理者は新たな課題と向き合うこととなった。これまでのシステムに何を加えればよいのか、さらにシステムを改善することで、どの程度のコストがかかり、安心・安全を担保できるのかというセキュリティ面の改善が必要となったのだ。

 いかにして従業員の利便性を保ちつつ、セキュリティを高めるか。「利便性とセキュリティ、このバランスが重要なポイントと捉えられてきたのが昨今の流れ」と松下氏は指摘する。さらに、もうひとつの重要なトピックスとして、2022年4月に改正・施行された「個人情報保護法」を挙げる。改正後の個人情報保護法における重要なポイントは次の6つだという。

  1. 個人の権利強化
  2. 事業者の責務強化
  3. 事業者の自主的な取り組みを促進
  4. データ利活用時の義務
  5. 罰則の強化
  6. 国外利用時の強化

 なかでもシステム管理者が注目すべきは「事業者の責務強化」と松下氏は強調する。改正後の個人情報保護法では、情報の漏洩が発生したときの報告が、これまで努力義務だったものが義務化された。

アルプス システム インテグレーション マーケティング部 営業企画課 課長 松下 綾子氏

アルプス システム インテグレーション

マーケティング部 営業企画課 課長 松下 綾子氏

 「何か起こってしまった際に報告をする手順やログの管理がしっかりなされているか。ここがポイントになると考えています」(松下氏)。

 そのほかにも、独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ 10大脅威」も紹介。なかでも注目したいものが次の8つで、どれもが情報漏洩をともなう。「注意しなくてはならないリスクポイントが増えていることを、しっかりと把握してください」と松下氏は警鐘を鳴らした。

  1. ランサムウェアによる被害
  2. 標的型攻撃による機密情報の窃取
  3. サプライチェーンの弱点を悪用した攻撃
  4. テレワーク等のニューノーマルな働き方を狙った攻撃
  5. 内部不正による情報漏洩
  6. 脆弱性対策情報の公開にともなう悪用増加
  7. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
  8. 不注意による情報漏洩等の被害

情報漏洩に備えて取り組むふたつの課題

 リスクポイントが増えている現状を踏まえて、松下氏はふたつの課題として「『報告』への準備」「『防御』の強化」を挙げた。

 まずひとつ目の「『報告』への準備」についてだ。改正後の個人情報保護法では、情報漏洩などが発生したときに報告義務が追加された。松下氏は「たとえば、どんな項目が報告対象か。それは、どんなタイミングで報告しなければいけないのか、把握しているでしょうか? そして、その準備はできているのでしょうか?」と問いかける。

 情報漏洩が発生した場合、速報値や確報値で報告する内容が変わる。そしてこういった報告をするには、インシデント時だけでなく、平時はどうなっていて、インシデント時にはこのようになった、という時系列の報告が必要になる。こういった報告をするための準備ができているのかが、重要になるという。

改正個人情報保護法では報告が義務になる
改正個人情報保護法では報告が義務になる

 ふたつ目の課題は「『防御』の強化」である。もし情報漏洩などの事態が起こると、大きな被害を受けるため、しっかりとした防御が必要となる。情報漏洩が起こったときは、損害賠償請求を受けたり、迷惑をかけた取引先企業との取引が停止してしまったりすることもある。また最近では、新卒採用や人材育成にも影響があると言われている。信頼性の落ちた企業には、優秀な新卒学生の応募がないこともあるという。

 インシデントが発生したときの、一件あたり平均想定損害賠償額は6億3,767万円にもなるという数値が、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)から発表されている。JNSAは『インシデント損害額調査レポート2021』を表しており、算出基準も掲載されているため、「ぜひ一読をおすすめしたい」と松下氏は語った。

情報漏洩を起こすと企業は大きな損失を被ることになる
情報漏洩を起こすと企業は大きな損失を被ることになる

ログとアクセス履歴は通常時から管理が必要

 では、具体的に課題に対してどのように対応すればいいのだろうか。松下氏は情報漏洩が発生したときの報告義務が、個人情報保護法に追加されたことへの考慮点として、ログとアクセス履歴の管理といった証跡管理と追跡を挙げた。

 「ここで重要なのは、インシデントが起こったときだけの把握ではなくて、通常時から把握しておくことです」と松下氏は語り、「『報告』への準備」の具体的な監視ポイントとして、次の3つを挙げた。

  • USBメモリへのファイル書き出し
  • ファイルのダウンロード
  • Webメールやオンラインストレージへのファイルアップロード

 そして、これらの監視ポイントを把握するツールとして、松下氏はSaaS サービスの「Sumo Logic」を提案する。Sumo Logicを使用することで、ログを暗号化してからインターネット上で管理が可能だ。しかも150種類を越える標準のテンプレートが用意されており、様々な製品のログを大きな手間をかけることなく管理できるという。

個人情報保護の監視ポイントはSumo Logicで監視が可能
個人情報保護の監視ポイントはSumo Logicで監視が可能

 また無料で利用できる機能として、脅威インテリジェンスといわれているC&C系のログと、Sumo Logicを利用している企業のログを突合できるようになっている。これにより、リスクを抽出することが可能になり、さらに大容量のログを長期間にわたって保存することもできる。

保護をしすぎない、実効性の高い管理が重要

 「『防御』の強化」によって情報漏洩リスクを低減し、損失を最小限にするための対策として松下氏は「データを外部に送信するときだけでなく、常時しっかりと保護しておくことが重要です」と話した。ただし、あまりにも保護をしすぎると従業員が抜け道を探して、被害を拡大するポイントになることもあるという。つまり、実効性の高い管理が重要になるのだ。

 現在、ファイルを使用する場所はパソコンだけでなく、ファイルサーバーやインターネット、他社のデバイスなど利用シーンはとても広がっている。こういったなかで、いかにして「『防御』の強化」を図っていけばよいのか。松下氏は次の5つを、防御を考慮すべきポイントとして挙げた。

  1. 日頃から常にデータ保護
  2. 従業員の業務はいつものまま
  3. 個人情報を含むデータを自動検出
  4. 個人情報を含むデータを自動暗号化
  5. 暗号化ファイルのライフサイクルを記録

 この5つの点を一括管理できるサービスとして、松下氏は、アルプス システム インテグレーションが開発したInterSafe FileProtectionとオプションのInterSafe PISを挙げた。

terSafe FileProtectionとPISでファイルの自動暗号化とアクセス制御を実現
InterSafe FileProtectionとPISでファイルの自動暗号化とアクセス制御を実現

 「個人情報のデータファイルがどこにあるかわからない」という状況に対しては、InterSafe PISが検索対象エリアのファイルの中身を自動的にチェックし、個人情報が含まれているファイルを検出する。そういった個人情報のデータファイルをリスト化し、InterSafe FileProtectionが自動的に暗号化を行う。

 しかもこれらは、すべて自動的に行われる。つまり、従業員は何も意識することなく使うことができるのだ。さらにこれらのファイルは、いつ、誰が、どこで、何をしたか、ということが、あとからもわかるようになっている。

 暗号化だけでなくアクセス権を付与できるようになっており、閲覧権限、編集権限のルールをあらかじめ管理者が設定可能。つまり社内の情報管理に役立てることもできるのだ。InterSafe FileProtectionにはSDKもあり、社内ポータルに組み込んだりAWSのファイルサーバーへ組み込んだりして活用することもできる。これにより各パソコンに保存されている個人情報データを検出し、社内ポータルやファイルサーバーへ集めて暗号化した上で、一括管理することが可能になる。

条件を満たせば報告の省略が可能になる

 InterSafe FileProtectionでは、AESと呼ばれる暗号化方式のうち、256ビット長の暗号鍵を使用する方式である「AES256」を用いた高度な暗号化に対応している。ファイルには鍵マークがついており、暗号化されていることがわかるようになっているが、閲覧権限を付与されたユーザーは暗号化されたファイルを、まったく意識することなく使えるようになっている。

 暗号化されていたとしても、通常のExcelやWordのファイルと同じようにダブルクリックで開くことが可能で、コンテンツ検索やウイルスチェックも問題なく行える。暗号化のシステムでよくある、ファイルの拡張子が変更されることもない。ユーザーは他のシステムと連携していることを意識せずに、ファイルを扱うことが可能になっているのだ。

 またInterSafe FileProtectionは、オフラインログインも可能だ。そのため、Wi-Fiが使えない、サーバーが停止した、といったときでも、管理者があらかじめオフラインで使える期間を設定しておくことで、インターネットに接続していない状態でもファイルを扱えるようになっている。

 松下氏はInterSafe FileProtectionを使用するメリットとして「データが漏洩したときの報告を省略できます」と話す。これはInterSafe FileProtectionであれば、報告の省略が可能な条件を満たせるからだ。

報告が省略な条件をInterSafe FileProtectionは満たしている
報告が省略できる条件をInterSafe FileProtectionは満たしている

 そして、InterSafe FileProtectionとInterSafe PISは、InterSafe ILPシリーズのひとつである。そのため、セキュリティのポイントとして機能を強化したいと考えたときに、製品として追加することが可能だ。「製品の追加をすると、それぞれが管理コンソールのログのなかで管理することができるようになっていて、日付や対象ログで検出できるようになっています」と松下氏はメリットを強調した。

InterSafe ILPシリーズなら管理コンソールで管理が可能
InterSafe ILPシリーズなら管理コンソールで管理が可能

 改正され、2022年4月から施行された個人情報保護法へ対応するためには、業務手順やアクセス権など、様々なことを見直す必要がある。しかし法改正を、「責任の強化や変革への投資のチャンスと考え、この機会を活用してほしい」と松下氏は語る。そして個人情報や機密情報のデータは「利用者の利便性への配慮と、利用者への意識向上の啓発が重要です」と強調し、講演を締めくくった。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16691 2022/11/15 10:00

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング