そのデータ管理、大丈夫? 電帳法改正で見直す、情報セキュリティ:22年1月に向けて(4/6 ページ)
2022年1月から施行される電帳法改正によって、電子データを印刷し、紙として保存する手段が認められなくなる。紙ベースの管理がメインだった管理部門の場合だと、施錠できないところに国税関係書類や契約書を置くことに不安を感じることもあるのではないだろうか。電子データの保存に必要になる、セキュリティ対策について解説する。
クラウドストレージは、セキュリティを意識して選択を
ペーパーレス化、脱ハンコの追い風となったのは、明らかに新型コロナウイルスの感染防止として急速に普及したテレワークだ。自宅からオフィスと同様に仕事ができるよう、VPNを全社に拡大した企業も多かった。だが、全社員がVPNを同時に利用するような使い方を想定していなかった多くの企業ではネットワークの深刻な速度低下を招いた。
そこで、非常手段としてオンプレミスのファイルサーバとは別に、クラウドストレージを使用することを一時的に許可したところも多いのではないだろうか。
しかし、今やテレワークは一時しのぎではなく、コロナ禍後でも継続されるニューノーマルのワークスタイルとして定着しつつある。セキュリティ的に十分な検討がないままの利用は時間がたつにつれて危険性も増す。
そうなるといかにして、クラウドストレージでオンプレミスと同等のセキュリティを実現するか、ということが重要な命題となってくる。
では、情報セキュリティという観点からはどのようなクラウドストレージを選ぶべきだろうか。クラウドストレージサービスの紹介ページを見ると、セキュリティ対策としてデータセンタでの物理対策やウイルス対策、災害対策などが出てくることが多い。
このあたりは情報セキュリティの七要素である可用性に関わってくる部分であるため、そこがきちんとできていないサービスを使うべきでないことは当然だ。だが、その他の要素を満たすための基盤として十分な機能があるか、というところも重要だ。例えば、アクセスログが取れないクラウドストレージは責任追跡性・否認防止が担保できない。
特に、今まで意識することなく維持できていた要素についても、オンプレミスであるが故に維持できていたのではないか、クラウドでは維持できないのではないか、と立ち返って考えることは重要だ。
例えば、オンプレミスの場合はまず社内ネットワークに接続できなければストレージへのアクセスができないため、「社員証がなければオフィスに入れず、ネットワークにも接続できない」といった物理的対策によって機密性が守られていたという面もある。部外者によるなりすましも難しいため、真正性も一部担保されるかもしれない。
一方、クラウドストレージはどこからでもアクセスできる。むしろそれがクラウドストレージを選ぶ理由の一つでもある。そのときにどうやって機密性・真正性を担保するのか。
パスワード認証のみだと、ID/パスワードというたかだか数十文字が漏れただけで真正性は無に帰してしまう。しかも、それを社員全員が一人の例外もなく守り通さなければ機密性が守られない。知識認証のみに頼ったパスワードだけでは無理であることは明らかだ。そうなると多要素認証は必須となってくる。
機密性を担保するためにはフォルダ・ファイル単位での柔軟なアクセス権限設定も不可欠だ。また、社員に対して無制限に権限を与えることは内部統制上も問題がある。
軽はずみな社員がいたとしても、それが企業のリスクにならないようどこまで権限を与えるか、という点には細心の注意を払って検討する必要がある。たとえファイルやフォルダに対してフルコントロール権限を与えても、組織外の人には閲覧権限を付与できないようにする、ということが設定できないとリスクを抑え込むことは難しいだろう。そうしておいて、組織外との共有が必要なときにはしかるべき手続きを踏んで管理者が設定する、といったルール・運用が求められる。
管理者自身の悪用にも対策が必要だ。責任追跡性・否認防止として有効な監査ログや設定変更時のアラートなどがあると抑止力としても効果がある。もちろん、監査ログ自体を管理者が改ざんできてしまっては意味がない。
関連記事
- 「ペーパーレスは手段でしかない」 紙をほぼ使わない企業に聞く業務改革のコツ
ウォンテッドリーでは、コロナ禍以前から意識的に紙業務を廃止してきた。経理業務ではほぼ100%、契約業務でも92%をデジタル化しているという。ペーパーレスのメリットや業務フローのデジタル化のコツについて、法務部門の植田貴之さん、 執行役員・コーポレート担当の兼平敏嗣さんに話を聞いた。 - 創業83年の製造業が大改革──東京本社は90%以上テレワーク、「紙・はんこ文化」からの脱却! その秘訣とは?
製造業にとって、働き方改革は容易ではない。それでもテレワークやペーパーレスはじめとする新しい働き方を積極的に取り入れているのが、ダイカストメーカーのアーレスティだ。緊急事態宣言下では多い日は90%以上のテレワーク率だというアーレスティは、これまでどのようにして働き方改革を浸透させてきたのか。 - <スキャナ保存編>知識ゼロから読める改正電帳法「一問一答」
2022年1月1日施行が予定されている「改正電子帳簿保存法」(以下、改正電帳法)。ここからは、基本編に続き、持木健太氏(TOMAコンサルタンツグループ 取締役)協力のもと「スキャナ保存編」と題して、国税庁の公式サイト「一問一答」をかみ砕いて解説する。 - 令和3年度の電子帳簿保存法 「うちは関係ない」とは言えない、2つの注意点
令和3年度(2021年)の税制改正で、電子帳簿保存法が改正されました。これまでと比べると抜本的改革というべき内容です。ただ、留意すべき点が2つあります。 - 多くの企業が取り組む「スキャンで紙をデジタル化」がダサい理由
多くの企業が電帳法対応で取り組む「紙書類のスキャン」だが、それを「ダサい」と指摘するのが、中小企業の経理業務に詳しい税理士の杉浦直樹氏だ。簡単にデジタル化できるスキャンが、いったいなぜダサいのか。
Copyright © ITmedia, Inc. All Rights Reserved.