スマートデバイスからの情報漏洩リスクに注目
内部不正による情報漏洩リスクに注目が集まるようになった。たとえば、個人が社内に持ち込んだタブレットやスマートフォンをPCにつなぐと、対策が不十分なPCからデータを抜き取ることができる場合がある。実際に今年、それを原因とした大規模な情報漏洩が起こった。企業は、モバイルやクラウドといった新しいインフラに合わせたセキュリティ対策を行うことが求められている。中川氏のセッションでは、そのような時代背景の中で内部不正を防ぐための管理のあり方から具体的な対策までを解説した。
▲株式会社日立ソリューションズ
ハイブリットインテグレーションセンタ
プロダクト戦略部第2グループ 部長代理 中川 克幸氏
中川氏はまず、今年8月に経済産業省が5つの経済団体に対して行った、個人情報保護法等の遵守に関する周知徹底の要請について紹介した。この要請のなかでは、情報処理推進機構(IPA)が2013年3月に策定した「組織における内部不正ガイドライン」に触れられており、特に、今年9月に改訂された内容に注目しておく必要があると話した。
「改訂されたガイドラインで強調されているのは、経営層によるリーダーシップの強化、情報システム管理運用の委託における監督強化、高度化する情報通信技術への対応の3つ。特に3つめについては、スマートデバイスなどによる情報の持ち出しを抑止する対策、適切なアクセス権限の設定・管理およびアクセスの監視、ログを活用した監視の3つがポイントとなっている」(中川氏)
ガイドラインの4章「内部不正のための管理のあり方」では、10の観点から30項目の対策が示されている。このなかでも「リスクは許容しない方がよい」として、特に重視すべき項目とみなされているのが、「4-2 資産管理」「4-6 人的管理」「4-7 コンプライアンス」だ。
このうち、情報(データ)の資産管理の例としては、情報の所在を確認して情報資産目録を作成すること、情報を重要度に応じて格付けしマークなどで表示すること、限られた人だけが重要情報にアクセスできるようにすること、一人の管理者に権限を集中させないなどがある。こうした対策を行わないと、情報漏洩そのものに気づかなかったり、漏洩発覚後も不正競争防止法を適用するための要件を満たせないことになるという。
また、人的管理の対策の例としては、セキュリティ規定などルールを常に見えるように提示する、定期的なセキュリティ教育を実施するといった対策を求めている。また、コンプライアンスについては、従業員の雇用時や雇用終了時に、秘密保持契約書提出を義務化したり、就業規則などに罰則規定を定めておくといった対策を求めている。
「こうした対策をすべて人手で行うことは企業にとって大きな負担になる。セキュリティツールによる技術的な対策により、管理負荷を軽減していくことが大切だ」(中川氏)
