SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Day レポート(AD)

「シャドーITを考慮した情報漏洩対策が必要」――日立ソリューションズ中川氏が解説

 企業の機密情報や、個人情報の流出が後を絶たない。”価値のある重要な情報” の位置づけは企業によって異なり、それらが置かれている環境や場所も様々だ。そのような業務環境のなかで、企業の情報システム管理者はどのような対策を行うべきか。「Security Online Day 2014」のなかで、「内部不正を防止するために企業は何を行うべきなのか~重要情報の外部流出を防ぐために必要な対策~」と題して、日立ソリューションズの中川克幸氏が講演した。

スマートデバイスからの情報漏洩リスクに注目

 内部不正による情報漏洩リスクに注目が集まるようになった。たとえば、個人が社内に持ち込んだタブレットやスマートフォンをPCにつなぐと、対策が不十分なPCからデータを抜き取ることができる場合がある。実際に今年、それを原因とした大規模な情報漏洩が起こった。企業は、モバイルやクラウドといった新しいインフラに合わせたセキュリティ対策を行うことが求められている。中川氏のセッションでは、そのような時代背景の中で内部不正を防ぐための管理のあり方から具体的な対策までを解説した。

株式会社日立ソリューションズ ハイブリットインテグレーションセンタ プロダクト戦略部第2グループ 部長代理 中川 克幸氏

▲株式会社日立ソリューションズ  
ハイブリットインテグレーションセンタ 
プロダクト戦略部第2グループ 部長代理 中川 克幸氏

 中川氏はまず、今年8月に経済産業省が5つの経済団体に対して行った、個人情報保護法等の遵守に関する周知徹底の要請について紹介した。この要請のなかでは、情報処理推進機構(IPA)が2013年3月に策定した「組織における内部不正ガイドライン」に触れられており、特に、今年9月に改訂された内容に注目しておく必要があると話した。

 「改訂されたガイドラインで強調されているのは、経営層によるリーダーシップの強化、情報システム管理運用の委託における監督強化、高度化する情報通信技術への対応の3つ。特に3つめについては、スマートデバイスなどによる情報の持ち出しを抑止する対策、適切なアクセス権限の設定・管理およびアクセスの監視、ログを活用した監視の3つがポイントとなっている」(中川氏)

 ガイドラインの4章「内部不正のための管理のあり方」では、10の観点から30項目の対策が示されている。このなかでも「リスクは許容しない方がよい」として、特に重視すべき項目とみなされているのが、「4-2 資産管理」「4-6 人的管理」「4-7 コンプライアンス」だ。

 このうち、情報(データ)の資産管理の例としては、情報の所在を確認して情報資産目録を作成すること、情報を重要度に応じて格付けしマークなどで表示すること、限られた人だけが重要情報にアクセスできるようにすること、一人の管理者に権限を集中させないなどがある。こうした対策を行わないと、情報漏洩そのものに気づかなかったり、漏洩発覚後も不正競争防止法を適用するための要件を満たせないことになるという。

 また、人的管理の対策の例としては、セキュリティ規定などルールを常に見えるように提示する、定期的なセキュリティ教育を実施するといった対策を求めている。また、コンプライアンスについては、従業員の雇用時や雇用終了時に、秘密保持契約書提出を義務化したり、就業規則などに罰則規定を定めておくといった対策を求めている。

 「こうした対策をすべて人手で行うことは企業にとって大きな負担になる。セキュリティツールによる技術的な対策により、管理負荷を軽減していくことが大切だ」(中川氏)

次のページ
内部不正を防止するための技術的対策

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day レポート連載記事一覧

もっと読む

この記事の著者

齋藤公二(サイトウコウジ)

インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6421 2015/05/07 16:54

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング