[架け橋 by CIO Lounge]

2023年9月29日(金)CIO Lounge

　情報セキュリティの強化は、現在のIT部門が直面する重要課題の1つでしょう。IT Leadersのような企業IT専門メディアには、ランサムウェアや標的型攻撃メールといった不正アクセス対策として、侵入防止・不正侵入検知システムやサイバー攻撃防御システムといったテクニカル面の記事や製品解説が多く取り上げられています。

　情報処理推進機構（IPA）がまとめた「企業がセキュリティ対策で気をつけるべき情報セキュリティ10大脅威 2022」を見ても、トップ5は以下のようになっています。

1位　ランサムウェア（前年1位）
2位　標的型攻撃による機密情報の搾取（前年2位）
3位　サプライチェーンの弱点を悪用した攻撃（前年4位）
4位　テレワーク等のニューノーマルな働き方を狙った攻撃（前年3位）
5位　内部不正による情報漏洩（前年6位）

　テクニカル面の対策は待ったなしであると言え、実際に読者の皆様も力を注いでいることでしょう。一方、2021年に上場企業とその子会社が公表した個人情報漏洩・紛失の原因（東京商工リサーチ調査）を見ると、それだけでは不十分なことがわかります。原因の約半数が誤表示や誤送信、紛失、誤廃棄、盗難など人間系なのです。外部からの不正アクセスによる場合も、真の原因がシステムの環境や権限の設定誤りといった、人間系によるものが含まれています。

　ゼロトラストの考え方（すべてを信頼せず検証する）からすれば、テクニカル面の対応にコストをかけて仕組みを構築しても、それだけでは万全とは言えません。考えうる仕組みを構築した後、それを管理し、操作し、点検するのは人間の役割です。そこで人間系の対策について、5項目のコメントおよびチェックポイントを記してみます。

①システムの委託先（委託先の技術者又は個人事業主）

　内部不正の場合に最も多い事例です。委託先の技術者または個人事業主の一部が、社員と同じように本番システムにアクセスできる環境にある場合、以下のような社員以上の管理が必要です。

●業務で取扱う、または見聞きする情報（機密情報、個人情報を含む）の取扱いについて、覚書などを取り交わしているか？

●情報の守秘義務についての誓約書を取り交わしているか？ その中には守秘義務違反の場合の罰則や賠償責任事項が盛り込まれているか？

●社員と同等の情報セキュリティ教育を定期的に実施しているか？ また順守すべき事項を明確化し、徹底策を講じているか？

②システムに対するアクセス管理（権限設定、見直し、ログ点検）

　内部不正を未然に防ぐ、または発生した場合に早期に特定するための対策です。テレワークが常態化していることもあり、事務所以外からのアクセス状況を把握することも重要です。さらにアクセス管理や点検の実行者が不正を見逃さないよう、複数人で行う必要があります。

●本番環境および本番データにアクセスできる権限を付与する場合、権限設定理由と見直し時期について、管理者の承認を得ているか？

●権限を付与された者が当該システムの担当を外れる場合、その情報が速やかに連携され、速やかに権限を取り消す仕組みがあり、実施されているか？

●本番環境および本番データにアクセスしたログを取得し、定期的に複数人で点検しているか？

●点検する項目の基準（時間外のアクセス、ダウンロード、アクセス場所など）を決めて、一定期間保管しているか？テレワーク者のアクセスログも点検しているか？

③バックアップ

　万一、不正侵入された場合にバックアップデータに影響が及ばないようにしておくこと、またクラウドサービスを利用している場合、バックアップデータの保持や復旧作業の責任分担を確認しておく必要があります。

●バックアップ用の機器は必要時（バックアップ作業時）のみネットワーク接続し、それ以外の時間帯はネットワークから切り離しているか？

●クラウドサービスを利用しているシステムのうち、特に重要なものは自社または他のサーバで定期的にバックアップしているか？

●Next：物理デバイスの廃棄・返却は適切か？ メール配信時の注意点は？