連載
» 2007年07月02日 12時52分 UPDATE

研修で教えてくれない!:第4回「セキュリティポリシーは何のため?」

手続きの面倒くささばかりが目立つ「セキュリティポリシー」だが、外部に情報を持ち出しする場合、ポリシーで定めている手続きに沿って持ち出した情報を“管理”することが重要だ。持ち出し情報を管理していれば、万が一、外部に情報を漏洩してしまったときの対応も早くなる。

[山賀正人,ITmedia]

 大手総合商社「メデア商事株式会社」の営業部3課の新人・小林ケンタは、今日の午後にお客様の下に出向いて説明する資料を準備していた。

小林 よしっ、これで準備OK!

 そこに課の先輩・高柳ワタルがやってきた。

高柳 今日の準備はできたか?

小林 はい、資料は用意できました。

高柳 よし、見せてみろ。うん、これで内容は良さそうだな。ところでデータ持ち出しの申請はしたか?

小林 持ち出し申請、ですか?

高柳 セキュリティポリシーの話は前にしたはずだが、ちゃんと読んでないのか?

小林 ちょっとばたばたしていて……。申し訳ありません。

 連載の第1回でも紹介したように、大企業だけでなく中小企業でも「情報セキュリティポリシー」を定め、それにしたがって情報管理を行うことが一般的になっている。そのポリシーの根幹は、社内情報の取り扱い方法だ。一般的に社内情報は持ち出し不可が原則であり、持ち出す際には定められた手順が必要になる――というわけだ。

高柳 今日持っていく資料のうち、これはほかのお客様の導入事例だから、今日のお客様に見せた後には回収する。回収するのは、ウチのセキュリティポリシーでそのように決めているからだが、この情報は、持ち出す場合にも申請が必要なんだ。

小林 申請はどうすれば……。

高柳 それくらいは自分で読め!!

 小林は配属時に渡されたセキュリティポリシーを読んでみた。今回の「お客様の導入事例」などは、持ち出しに際して次のような情報を用紙に記入して、課長に提出し、許可を得る必要があると定められていた。

メデア商事のセキュリティポリシー

  • 持ち出す情報(○○企業の見積書、○○システムの仕様書など、可能な限り具体的かつ詳細に)
  • 持ち出す媒体(USBメモリ、PC、CD-R、紙など)
  • 期間
  • 目的、理由
  • 持ち出した後の処理(回収する、コピーしたデータを消去するなど)

 また、持ち出し期間終了後の処理が申請どおりに行なわれたかどうか、上長の確認が必要と定めている。

小林 うわっ、めんどくさっ!

 小林は正直、げんなりした。

小林 高柳さん、なんでこんな面倒な手続きが必要なんですか?

高柳 お前はどう思う?

小林 そうですね……。手続きを煩雑にすれば、社内情報を持ち出そうという気持ちが萎えるので、それによって持ち出し自体が減って情報漏洩のリスクを軽減される、とか。

高柳 なんだ、それ。

 高柳は小林の回答に思わず笑ってしまった。

小林 ち、違うんですか?

高柳 ま、確かにそういう効果が期待できないこともないかも知れないが、そもそもの目的は違う。

 このような手続きを必要とするそもそもの理由は、もちろん情報漏洩事故に備えるためである。近年、何らかの形で社外に持ち出された社内の機密情報が、紛失や盗難、場合によってはウイルス感染などによって外部に漏洩する事故が多発している。当然ながら、そのような事故を防ぐための努力は不可欠であるが、不可抗力によるよるものも多く、完全に防ぐことは不可能だ。

 従って、情報漏洩事故の最も簡単な防止対策は「社内情報を一切社外に持ち出さない」ということになるが、持ち出さないことは現実的には不可能。そこで、持ち出しを完全に禁止するのではなく、持ち出すためのルール(基準、手順など)が定められているのだ。

小林 目的は分かるんですけど、何でここまでやらなくちゃいけないんですか? ただ面倒なだけに思えるんですけど。

高柳 じゃあ、持ち出した情報が何らかの理由で漏洩してしまったときのことを考えてみよう。このような漏洩事故が発生したときに、まず会社が把握しなければならないのは何だ?

小林 えっと、誰がいつ漏らしたかってことですか? つまり、誰が犯人かっていう……。

高柳 それも重要だが、もっと重要なことがあるだろ?

小林 う〜ん……。何が漏洩したか、ってことですか?

高柳 そうだ。漏洩した情報によって会社が取るべき対応は大きく違ってくる。まずは何が漏洩したのかをできる限り正確に、そして速やかに把握することが肝心だ。あらかじめ、持ち出された情報を特定するための正確な記録が会社に残されていれば、漏洩事故が発生しても、何が漏洩したのか、早く確実に分かるだろ?

小林 なるほど……。確かに持ち出した本人の記憶にだけ頼るなんて危険ですもんね。

 「情報セキュリティポリシー」に従った持ち出し手続きは、慣れないうちは単に面倒なだけと感じられるだろう。しかし、このような手続き、さらに言えば、そもそも「セキュリティポリシー」が何のためにあるのかを充分に理解し、会社で定められたルールに従うことを忘れてはならない。

著者紹介 山賀正人(やまが・まさひと)

セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -