管理者の年末年始は「備えあれば憂いなし」：年末緊急特番！ボットネット対策のすすめ（2/3 ページ）

[JPCERT/CC，ITmedia]

梶原：「大田君、一応体制上はそれなりに整っているようだが、運用面にははなはだ不安がある。少なくとも年末年始の長期休暇の前に改善すべきところをすべて洗い出して、何とかしよう」

大田：「はい……」

梶原：「とにかく問題は他部署の協力だな……これは相当に骨が折れそうだ」

大田：「……」

梶原：「他部署の調整は俺がやるから、君はさっき頼んだ各課の情報管理の状況確認を急いでくれ」

大田：「了解しました」

できることから一つひとつ改善を

　梶原部長からの指示を受けて、大田はまず、各課の持ち出しデータの管理状況を確認した。その結果、社内PCについているUSBスロットにUSBメモリを挿して勝手に社員がデータを持ち出している実態が明らかになった。そもそも、持ち出しに当たって課長の許可が必要であることすら知らない社員もいた。

　並行して、情報漏えい事故発生時の連絡体制の周知度についても各課に確認してみた。その結果、情報漏えい発生時の連絡先すら知らない者がほとんどであることが判明した。

　そこで大田と梶原は、まず情報漏えい発生時の連絡体制の再整備を行った。まず、各課において社員が情報漏えいの「可能性」を察知した場合は課長に報告する。次に課長は、その事実を情報システム部に報告する。報告先は当面課長の大田とする。情報システム部は該当部署に対する一次ヒアリングを行うとともに、情報システム部部長を通じて社長など経営層に情報を伝達する。経営層は情報システム部部長とともに対策本部を設置し、改めて情報収集と事実確認を行い、分析（原因、影響範囲、対応計画および公表の可否など）を行う。

図4●情報漏えい発生時の連絡体制の例

　また情報漏えい事故に関しては、技術的な点も含めて、日常的に担当者（この場合、各課の課長）間での情報共有が必要である。例えば、「最近世の中ではどのような情報漏えい事故が発生しているのか」「それはなぜ発生したのか」「それを防ぐためには何をすべきか」といった情報を共有しておくことで、万が一の事故発生時に速やかな対応が促されるのである。

　そこで大田と梶原は、月に一度、定例で各課の課長を集めての情報セキュリティに関する勉強会（約1時間）を開くことにした。その勉強会では、情報システム部が取りまとめている情報セキュリティに関する最近の話題を紹介するだけでなく、各課で発生している情報セキュリティに関する「問題点」「改善希望点」などについて意見交換をすることとした。

　次に大田と梶原は、社員教育の徹底にも取り組んだ。新人研修に情報セキュリティポリシーについてのレクチャーを織り込むことから始まり、各課の課長に対する勉強会を行った。その中では情報漏えい事故が発生した場合の会社の被害想定額を提示するなどして、情報管理の重要性を理解させた。なお、被害想定額については日本ネットワークセキュリティ協会（JNSA）が公開している文書を参考にした。

　また課長には、今回の勉強会の内容を踏まえて、部下に対する情報セキュリティ教育を徹底することを義務付けた。特に、持ち出したデータを読み出す自宅PCに対するウイルス対策やWinnyなどファイル交換ソフトのインストール禁止の徹底なども既存のマニュアルをもとに厳しく指導するように指示した。さらに、技術的な面ではUSBメモリの使用に当たっては暗号化を義務付けることとした。

　その後、年末ギリギリではあったが、第1回の課長向け勉強会を実施することができた。また営業部による協力の下、「顧客情報の入ったUSBメモリを紛失した」という事故を想定し、情報漏えい事故について対応の予行演習を行った。一方で情報システム部では、「データセンターに設置しているサーバがDDoS攻撃を受けた」ことを想定した予行演習を行った。