セキュリティ事故現場から見える経営リスクと対策 Vol.4

IT・IT製品TOP > Key Conductors > 江尾 一郎(ソフトバンク・テクノロジー株式会社) > セキュリティ事故現場から見える経営リスクと対策 Vol.4
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

セキュリティ事故現場から見える経営リスクと対策 Vol.4

2015/06/02

 これまで3回に渡って「情報セキュリティ事故(情報漏洩)の現場」から、学ぶべき対策を探ってみました。今回は、どのようなことを事前に準備・対応しておけばこのような事故に至らなかったのか、今後参考になるようなポイントを提示できればと思います。大企業への提言にはあまり当てはまらないかもしれませんが、傘下の事業会社や系列子会社(中小企業規模)も同じような状況かどうかを知る手がかりになればと思います。

第4回:情報セキュリティ対策とリスクマネージメント

1. 事故現場では

(1)情報漏洩事故の背景

 「セキュリティ・インシデントが発生したかもしれない」と企業から緊急対応依頼(要因の調査や応急処置)を受け、対応が一段落した時点で、関係者から振り返っての反省事項でよく耳にする言葉を挙げてみました。大概の企業においては、何も対策をしていなかったわけではありませんでした。

●セキュリティ・マネジメント・システムを導入・運用していたにもかかわらずセキュリティ・インシデントが発生してしまった。
●ここ数年、セキュリティポリシーやセキュリティ対策の見直しや対策強化などの改善をしていなかった。
●防御策のためにセキュリティ製品機器を導入していたが、初期設定のままで運用されていた。当時の導入担当者が退職したまま後任もいなかった。
●公開用Webシステム導入当初は、セキュリティ診断等を都度実施・改善をしていた。その後のシステムやアプリケーションの仕様変更が頻繁に行われていたために診断・改善をしていなかった。
●サーバーのパッチ適用は、製品ベンダーや開発会社からの動作保障が得られないため適用を見送っていた。適用すべきか判断がつかないまま放置されてきた。
●廃棄したはずのサーバーや削除したはずの機密データが残っていた。
●必要なログが残されておらず、原因究明ができない結果となった。

 このように、予算や経費的な問題、リソース不足などにより対策の遅れや先送りをした経緯が多々ありました。ある程度危惧していたにもかかわらず、対応できずに事故が起こってしまった悩ましい現実があったようです。さらに、経営難もしくは急成長に伴う営業最優先課題が山積みの中、セキュリティ対策の優先度が下げられていたこともあったのが要因としてありました。

(2)事故後の対応

当時、事故の認識はどうだったか
 会員からの問い合わせや指摘、提携先・委託先からの報告や検知システムのアラート等により、情報漏洩の可能性のある事故報告が突然やってきます。誰しもまさか自社(或いは、系列会社や委託先)から流出したとは信じ難いことだったと思います。あってはならないことですが、事故調査よりも復旧優先の判断により、要因の特定ができずにそのまま告知・報告が遅れ、未対応であったケースもありました。初動対応の重要性を考えれば、経営と現場責任者の認識次第で事故後の経営リスク(損失)が大きく左右されるということは言うまでもありません。経営側の姿勢として、「事実をきちんと迅速に把握し、顧客に告知すること」、現場の役割として「実害の有無・影響範囲を迅速に把握し、経営に伝えること」が重要です。
 
告知義務
 安全対策を万全に期していると思われる企業でさえ、標的型攻撃・予期しない事故・委託先による情報流出などが発生しています。さらに事故後、SNSなどで一瞬にして拡散されるため、マスコミや顧客対応が悪いとクレームの殺到や風評被害によるネット炎上が避けられない時代です。そうなると、事故後の対応(復旧・回復)がさらに長期化・複雑化してしまいます。
情報流出事案においては、顧客(会員)への二次被害の拡大を阻止するために、迅速な告知対応が責務となっています。

※個人情報保護法第7条に基づいて、政府が基本方針「事業者において、個人情報の漏洩等の事案が発生した場合は、二次被害の防止、類似案件の発生回避等の観点から、可能な限り事実関係等を公表することが重要である」
※個人情報の保護に関する基本方針の概要責任体制の確保 事業運営において個人情報の保護を適切に位置づける 観点から、外部からの不正アクセスの防御対策のほか、個人情報保護管理者の設置、内部関係者のアクセス管理や持ち出し防止策など、個人情報の安全管理について、事業者の内部における責任体制を確保するための仕組みを整備することが重要である。 また、個人情報の取扱いを外部に委託することとなる際には、委託契約の中で、個人情報の流出防止をはじめとする保護のための措置が委託先において確保されるよう、委託元と委託先のそれぞれの責任等を明確に定めることにより、再委託される場合も含めて実効的な監督体制を確保することが重要である。

官民連携(関係機関への報告)
 関係機関との連携では法執行機関などへの相談・報告も重要な責務となっています。関係機関への報告義務は、どのような意義があるのでしょうか。
 事故後の顧客への告知や関係機関の報告義務は事実に基づき慎重を期すべきですが、告知や報告が遅くなると被害拡大の恐れや阻止すべき措置の遅れなどの対応責任が問われます。また、風評被害や信頼失墜を懸念しての対応の遅れはかえって隠蔽の嫌疑などの風評による誤解を生じさせてしまう恐れがあります。
 認識を改めて頂きたい点は、政府・関係機関による法的要件の整備や業界毎にガイドラインが策定されていることに注視すべき点です。中央・地方の専門担当官による指導体制も充実してきていると実感しております。単なる結果報告の受付だけではなく類似報告例などの参考手順などの対応アドバイスを受ける機会にもなります。さらに、事故報告は新たな事例や多発事例として注意喚起による参考(歯止め対策)になることで社会への貢献にもなります。

(3)事例から学ぶ

 あらかじめこんなことを把握しておけば、対策(強化)を実施・再考していたのではなかっただろうか、ということを列挙します。

●事故後のシステム再構築(復旧・回復/再発予防対策)等にかかる費用(損失額)は?
●事故後の風評被害や停止期間中のロスほかダメージによる損失は?
●事故(破壊)や災害が起こった場合の再開の目途や復旧を考慮したシステムなのか?
●リスク受容水準は?
●リスク受容水準が高い場合、リスク低減策はあるのか?
 (過去の退会者の削除・退避、信用情報などは公開サーバーには保存しないなど)
●費用対効果はどうか?
 (社内評価を第三者評価と合わせて、検討しておくべきだった。)

 現場担当の悩みとして、こんなケースもありました。事業統合や再編によるセキュリティリスクです。契約締結後に現場がシステム統合の事実を知ることが多く、稼働優先に推進されるために準備期間が短い中での対応になりました。契約締結前後にインシデントが発生したため、主力事業にまで影響を及ぼしかねない事態になってしまいました。単なる情報資産と各種マネジメントシステムの認証レベルの監査による評価だけではなくセキュリティ対策上の潜在リスクを診断評価することはとても重要なことです。

2. 情報セキュリティ対策とリスクマネジメント

事故事例の反省からアセスメントの重要性にポイントをおきます。

(1)プロアクティブな活動

医療に例えると
 我々は健康維持管理のため定期的に健康診断や人間ドッグを受診し、健康状態をチェックしております。健康上異常がないかを定期チェックし、疑わしい箇所が発見されれば精密検査にて早期発見、治療・手術等により治癒し、健康回復できます。再発やほか発症の可能性もあるため、ドクター指導のもと定期診断と健康維持管理の強化をはかるかと思います。
 好調と思えても気づかない病に侵されていたり、不調とわかっていても多忙を理由に顧みず楽観視して病が深刻になってしまっていることもあります。健康の阻害要因としては、遺伝体質・生活習慣・環境悪化・事故等々とあります。結局、健康維持増進のために何をしているかが重要なことです。病気や事故も避けられない場合もあります。
 予防・回避・代替策としては、運動(教育と訓練)により心身を鍛え、不摂生を押さえ(情報資産の取り扱い条件を絞るか低減策)、健康診断・検査により健康状態を認識し、弱いところ・疾患(脆弱性)・怪我・安全確認(事例や小さな事故)など早期発見により治療(改善)できます。最悪の事態に備え収入と将来の家族の保障も含め生命保険や傷害入院保険をかけると思います。企業の事業活動におけるリスクにあわせた対策コストとのバランスをはかるうえでアセスメントは重要なプロセスになります。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

(2)事業責任者と現場担当の役割

事業責任者(或は部門責任者)はビジネスオーナーであり、責任を持つこと
 事業責任者はチーム組織を編成し・明確な方針と目標を設定させ管理します。情報の分類(情報資産の識別)は、最終的に情報資産の保有内容や保有期間、保有方法と保護対策などの抜けがないかを、事業責任者が確認し決定されなければなりません。現場担当の責務は、事業責任者に現場の技術的な課題とその解決策とリスクやコスト低減策の判断材料を提供することです。予算確保できない場合の低減策の方向性の判断を速やかに行うことができるのは事業責任者です。リスクマネジメントの一部であることを理解・認識ください。

(3)プロジェクトの発足

プロジェクトの発足と開始、横断的な組織づくり
 組織を横断的に連携できるチーム(風通しのよい組織づくり)が大切です。チーム編成の重要なポイントとして、組織の風通しを良くすることにより強い組織力が生まれるとよく言われます。良い事例だけではなく失敗事例までも横展開できる企業は強い組織力を有しているとよく評価されています。有事の時には、インシデントレスポンス(IR)体制としていろいろな専門知識をもつ要員構成が必要になります。事前準備(平時より)として緊急対応フローの策定とあわせ、以下の構成メンバーを決めて活動をはじめることで予備知識含め意識向上と連携の繋がりを構築しておくことができます。

・事業責任者(経営・幹部の執行役員クラス以上)
・情報セキュリティ
・法務、人事、広報
・通信、物理セキュリティ、情報システム
・内部監査責任者
・委託先
・取引先専門エンジニア
・外部顧問(顧問弁護士・会計監査、専門スペシャリスト等)
 
■定性的な分析から始め、方針を固める
 内部監査や外部監査は、主に規格要求や規定に対し適合しているかどうかなどを評価します。全体の網羅性や高度な専門技術を有する場合は、外部の専門家に協力依頼する必要があります。その必要性があるかなどの方針を決めることが重要です。
 定性的な分析(監査方法)では、重点項目と優先度をとらえアセスメント計画を短期間で策定し進めることが必要です(部門ごとに情報資産に対するセキュリティ対策の現状と必要性・重要度・優先度等を分類する)。こうすることで、予算やリスク対策の方向性を関係者で共有できます。これらの結果により的確な対策方針の判断が可能になり、可用性を含めた計画策定を行えば、効率の良いリスクマネジメント計画の策定ができるかと思います。

鳥瞰的な視点に立って(全体を眺望)
●部門ごとに、環境の変更、イベント、過去のインシデント状況(件数・スキル)を評価
●法整備やガイドラインに基づき、調整すべき課題を整理、組織のポリシー見直しポイント  
 スタンダード・プロシージャ・ベースライン・ガイドラインにて明確に織り込むポイント
●調査分析期間は、なるべく1〜2週間程度で対応できる内容範囲に落とし込むことです。企業規模によっては、事業や部門などの規模やリスク度合いに応じて範囲を分割してください。数か月もかけてやることはリスクの変化についていけません。
●業績とリスクは比例しません。業績が低迷しているケースのほうが要注意です。セキュリティ対策でリスクを下げることよりも、代替策(運用や情報資産の取扱い方法の変更など)によるリスク低減によるコスト削減の検討も常に選択肢として必要です。
●監査実績を基に「できていないこと(不適合・観察事項で指摘を受けたこと)」を列挙し、アナログ的にやるべきことを減らして自動化できることはないかを検討します。ただし、その費用対効果のバランスがとれることが前提になります。自動化は、人間の判断によるミスや見過ごしの対策にもなります。
●非定型業務で生じる情報資産にも要注意です。システム移行や障害時の移行用や復元用のデータ、突発的なイベントなどの抽出データなどは、意外と計画外作業のため放置(残留)されてしまう可能性があるため、定期的な確認作業による点検が必要ですが、残リスクチェックとして必ず追加しておくべきです。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

(4)ビジネスプロセスに組み込む

 重要なのは、セキュリティ対策を日々のビジネスプロセス(業務)に直接組み込み、有事の際にビジネスオーナーがしかるべき対応を取れるようにすることです。

対策は、ビジネスプロセスに直接組み込む
 事業・部門ごとに重要な規定を参考に具体的なアンケートを実施してみてください。日本的な思考ですが、事前に教育をしてから実施し、数回に一度は抜き打ちも行うと良いと思います。

●名刺入れの管理では規定はどうなっているか、どれくらい顧客の名刺を溜めたまま保持していると規定違反なのか。
●申込・契約書にある個人情報の記載用紙を間違いなく管理する手順はどのような規定か、どのように管理されているか。
●イベント案内用に営業から依頼がきたが、情報の配布先が組織変更による複数部門となっていたたがどう対応すべきだったか。
●郵便物配送の委託先が変更となっているのに気付いたがどのような契約内容なのか誰も把握していなかった。これに問題はないか。
●顧客情報の収集内容(追加項目)が増えていないか。(システムのDBなどにも)
 ※個人情報の付加価値が高くなっている。
●会社と個人の携帯(とくにスマートフォン)の利用規制の利便性・必要性を検討している段階だが今は黙認していることは問題か。
●規定の理解度の確認のために、教育(理解度アップ)とテスト(確認と評価)を習慣的に行っているか。
 ※昨今の事件事例とその脅威を理解させていますか。
●重要な情報を保有する共有サーバーのアクセス権限の認可において、高い権限を持っているメンバーは把握されているか。その必要性があることを誰が承認と認可をしているか。


■ほかに盲点はないか
 セキュリティ対策で見落としがちなところは、信頼という名のもとの点検作業の省略や小さな変化の繰り返しによる見慣れた光景となってしまうことです。日々の活動で少しずつ業務の変化が起こり、それらに気が付かずに慣例となり大きな脆弱性がそこに潜在してしまうケースがあります。

●人為作業の限界
●サンプリングによる監査精度の低下
●テストデータのつもりが、いつの間にか本番データを利用していた・移行(本番)データが残っていた
●内部監査の専門知識の限界・環境の変化(新規部門、系列企業、委託先)のリスク

 最後に、準備・励行すべきこと・やってはいけないことのなどを参考として列挙しておきます。 

<<平時の準備>>

●業種ごとの対策ガイドラインと自社のガイドラインとのギャップ分析は担当を決め、定期的に確認し・マネージメントへの報告・改定処置の提案をする。
●外部関係機関(監督官庁・所在の都道府県庁)との連絡体制を整備しておく。
 既に、業種ごとに窓口にて事業上の相談や報告・指導などを受けているかと思いますが、IR時においても同じかどうかなど社内の担当との連携含め確認しておくとよいと思います。窓口担当などを確認しておくと
 
 -各都道府県庁の情報セキュリティ事故の相談窓口を確認
 -警察:http://www.npa.go.jp/cyber/soudan.htm
 -IPA:http://www.ipa.go.jp/security/index.html
 -JPCERT:https://www.jpcert.or.jp/ir/

●委託先との契約内容の把握をしておく。
 委託先によるインシデント発生の場合に備え、契約内容の把握はとても重要なことです。委託先といえども、会員(顧客)情報の流出の管理責任は免れません。重要な情報に関する安全管理措置や機密保持などの責任を明確に定めて契約することが重要です。サービス仕様書の内容レベルの判断も禁物です。事業のリスク度合いに応じた監査による評価・検討したうえで委託をすべきです。

<<有事>>

●情報セキュリティ・インシデント時においてよく見かける事象ですが、会議などで犯人探しをするような言動は避けることです。会議が空転するだけなので、経営者が前もって釘をさすべきです。
●IR時の告知(公開時)までの機密扱い(インサイダー情報、不用意な情報による信用失墜なる要素)に注意を払うためには、調査対策チームのコアメンバー(社外メンバー含む)、都度現場調査担当の教育と理解をさせる準備と仕組みが必要です。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007930


IT・IT製品TOP > Key Conductors > 江尾 一郎(ソフトバンク・テクノロジー株式会社) > セキュリティ事故現場から見える経営リスクと対策 Vol.4

このページの先頭へ

キーマンズネットとは
某セキュリティ事業会社にて、日本最大のセキュリティ監視センターの設立後、運用責任者として従事。その後、大手通信事業のCIO補佐官、自ら設置した日本初のセキュリティインシデント対応サービスの総責任者を歴任。現在はソフトバンク・テクノロジーにてセキュリティのコンサルティングおよび事業のサービス展開を行っている。

ページトップへ