Part1 なぜ「社員」の監視が必要か:「社内ブラックリスト」の作り方(3/3 ページ)
検知
3つ目は、内部不正による情報漏えいを「検知」する対策であり、監視・モニタリング、内部監査による確認などが該当する。監視・モニタリングは、前述のサーバルームをガラス張りにするなど、監督者の目視によって行われる場合と、台帳記入、防犯カメラなどによる録画、入退室ゲートや情報システムのログなどにより取得された記録の常時あるいは定期的な確認によって行われる場合とがある。
特に、最近の内部不正による情報漏えい事件の多発を受けて、情報システムの利用状況を取得するツールの種類が増えている。
具体的対策は本特集のPart3で紹介するが、Webサイトへのアクセスや掲示板などへの書き込み、送受信された電子メールの内容などを記録するツールに加え、サーバに保管された電子ファイルの閲覧・修正履歴を取得・解析するツール、クライアント端末の画面キャプチャを定期的に取得するツールなどがある。また、取得された記録は、内部監査にて監査証跡として利用し、第三者が確認を行うことが肝要だ。
回復
4つ目の内部不正による情報漏えいから「回復」するための策だが、情報漏えいに関しては当然ながら発生前の状態に戻すことはできないため、発生による影響を拡大しない対策、つまり、漏えいに備えた事前準備が重要となる。漏えいが判明した際に、迅速な対応ができるよう、次のような準備が必要である。
- 連絡個所の明確化と緊急連絡網の整備
- 対策本部の体制と各人の役割の明確化
- 広報体制の整備と過去の広報事例の分析
- 情報システムの利用停止基準と証拠保全手順
- 監督官庁などへの報告手順
上記の4分類の対策をどこまで行うべきかは、企業が属する事業ドメインや、扱っている情報によって異なる。漏えい発生時に被るインパクトや脆弱な個所を分析し、対策を決定すべきである。
監視・モニタリングの必要性
監視・モニタリングを行っていることを広く周知することで、受動的な牽制を働かせ、漏えいを抑止できることについて記述したが、それ以外にも2つの観点から監視・モニタリングの必要性が高まっている。
まず、2005年4月に完全施行される「個人情報の保護に関する法律」に「個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」(第21条 従業者の監督)と定められた点だ。
これにより、漏えい対策として監督が必要となるだけでなく、個人情報漏えい事件が発生した際には、組織の監督状況が厳しく問われるところとなる。また、「個人情報の保護に関する法律」を基に、経済産業省にて作成された「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「従業者のモニタリングを実施する上での留意点」がまとめられ、従業員の監督に、監視・モニタリングが不可欠であることを示唆している。
監視・モニタリングの必要性が高まっているもう1つの理由としては、情報漏えいが発生した際に、流出経路の特定が強く求められるようになってきているためである。
漏えい事件を起こした企業の事例においても、漏えいの事実のみ公表する例は少なく、いつの時点の情報が漏えいしたのか、どのように漏えいしたのか、どのような再発防止策を講じたのかを公表し、顧客の信頼回復を図っている。また、2004年4月に閣議決定された「個人情報の保護に関する基本方針」においても、「(個人情報取扱)事業者において、個人情報の漏えいなどの事案が発生した場合は、二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係などを公表することが重要である」と定められている。
流出経路の公表および再発防止策の検討を行うためには、監視・モニタリングを強化し、情報が取り扱われた記録を詳細に取得することが不可欠だ。
漏えい対策の継続的な改善
顧客との信頼関係や営業機会の喪失、損害賠償請求訴訟への発展など、情報そのものの価値が高まるに従い、情報漏えい事件の発生により企業に与えるインパクトも拡大してきている。また、「個人情報の保護に関する法律」の施行、企業の社会的責任(CSR)の観点からも要求される統制レベルも高まっている。このような環境変化に適合していくためには、脅威が発生した際の影響の大きさと脅威の発生可能性から算出したリスクの大きさに基づき、前述の対策を組み合わせて採用すると共に、「計画(Plan)」、「導入(Do)」、「点検(Check)」、「処置(Act)」によるマネジメントサイクルの運営(図5)によって、対策の継続的な見直し、改善が必要不可欠である。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。