Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「シャドーITを考慮した情報漏洩対策が必要」――日立ソリューションズ中川氏が解説

2015/01/29 11:00

 企業の機密情報や、個人情報の流出が後を絶たない。”価値のある重要な情報” の位置づけは企業によって異なり、それらが置かれている環境や場所も様々だ。そのような業務環境のなかで、企業の情報システム管理者はどのような対策を行うべきか。「Security Online Day 2014」のなかで、「内部不正を防止するために企業は何を行うべきなのか~重要情報の外部流出を防ぐために必要な対策~」と題して、日立ソリューションズの中川克幸氏が講演した。

スマートデバイスからの情報漏洩リスクに注目

 内部不正による情報漏洩リスクに注目が集まるようになった。たとえば、個人が社内に持ち込んだタブレットやスマートフォンをPCにつなぐと、対策が不十分なPCからデータを抜き取ることができる場合がある。実際に今年、それを原因とした大規模な情報漏洩が起こった。企業は、モバイルやクラウドといった新しいインフラに合わせたセキュリティ対策を行うことが求められている。中川氏のセッションでは、そのような時代背景の中で内部不正を防ぐための管理のあり方から具体的な対策までを解説した。

株式会社日立ソリューションズ ハイブリットインテグレーションセンタ プロダクト戦略部第2グループ 部長代理 中川 克幸氏

▲株式会社日立ソリューションズ  
ハイブリットインテグレーションセンタ 
プロダクト戦略部第2グループ 部長代理 中川 克幸氏

 中川氏はまず、今年8月に経済産業省が5つの経済団体に対して行った、個人情報保護法等の遵守に関する周知徹底の要請について紹介した。この要請のなかでは、情報処理推進機構(IPA)が2013年3月に策定した「組織における内部不正ガイドライン」に触れられており、特に、今年9月に改訂された内容に注目しておく必要があると話した。

 「改訂されたガイドラインで強調されているのは、経営層によるリーダーシップの強化、情報システム管理運用の委託における監督強化、高度化する情報通信技術への対応の3つ。特に3つめについては、スマートデバイスなどによる情報の持ち出しを抑止する対策、適切なアクセス権限の設定・管理およびアクセスの監視、ログを活用した監視の3つがポイントとなっている」(中川氏)

 ガイドラインの4章「内部不正のための管理のあり方」では、10の観点から30項目の対策が示されている。このなかでも「リスクは許容しない方がよい」として、特に重視すべき項目とみなされているのが、「4-2 資産管理」「4-6 人的管理」「4-7 コンプライアンス」だ。

 このうち、情報(データ)の資産管理の例としては、情報の所在を確認して情報資産目録を作成すること、情報を重要度に応じて格付けしマークなどで表示すること、限られた人だけが重要情報にアクセスできるようにすること、一人の管理者に権限を集中させないなどがある。こうした対策を行わないと、情報漏洩そのものに気づかなかったり、漏洩発覚後も不正競争防止法を適用するための要件を満たせないことになるという。

 また、人的管理の対策の例としては、セキュリティ規定などルールを常に見えるように提示する、定期的なセキュリティ教育を実施するといった対策を求めている。また、コンプライアンスについては、従業員の雇用時や雇用終了時に、秘密保持契約書提出を義務化したり、就業規則などに罰則規定を定めておくといった対策を求めている。

 「こうした対策をすべて人手で行うことは企業にとって大きな負担になる。セキュリティツールによる技術的な対策により、管理負荷を軽減していくことが大切だ」(中川氏)


著者プロフィール

  • 齋藤公二(サイトウコウジ)

    インサイト合同会社 「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Day レポート
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5