情報漏えい対策ツールを120％生かす運用術：個人情報保護時代の情報セキュリティ（2/2 ページ）

[伊藤良孝，ITmedia]

　事故発生時に企業が行うべき対応は、大きく2つに分けられるだろう。1つは社会に対する説明責任をまっとうするための対外的な作業、もう1つはそれを裏付ける証拠の収集である。一般的にデータ／ネットワークフォレンジック、またはコンピュータフォレンジックと呼ばれる内部作業である。前者は日頃から事故が発生した場合の対応手順や連絡網などを整備し、社内で定期的に訓練を行っておけばよいだろう。しかし、後者については一考を要する。事故が発生した場合には、監視ツールやシステムなどが記録したログをすべて照査する必要があるからだ。

　理想的には、その監視ツールやシステムを運用する部門で実施するべきだが、スキルや人員の問題から困難な場合がほとんどだろう。さらに、それらのツールやシステムなどで原因が特定できなかった場合は、より詳細なフォレンジック作業が必要となる。この作業は非常に高度な専門的な能力が必要とされるため、社内の人員で対応できる企業は少ないと言える。また非常に大きな企業でもない限り、こうした事態に対応する専門家を抱えることは人員リソース的にも得策ではない。このような場合に備えて、エスカレーション先をセキュリティ専門企業に依頼しておくなど、企業内の運用部門をバックアップする体制の構築も考慮に入れるべきであろう。

定期的な見直しなくして、セキュリティは向上しない

　セキュリティの定期的な見直しは、大きく2つの側面から行う必要がある。第一に実際の運用の側面である。前述のとおり、非常に多数の機器からログを収集するタイプの監視ツールにとってログの問題は非常に重要だ。このため、「必要なログを適切に採取しているか」「不必要なログを採取していないか」など、またアラートの生成ルールや重要度の重み付けも定期的に見直すべき項目となるだろう。

　第二は内部監査の視点からである。運用方法や組織も含めて、このようなツールやシステムが適切に稼働しているかを定期的にチェックする必要がある。多くの日本企業ではセキュリティ対策の指針に採用しているISMS（情報セキュリティマネジメントシステム）でも、定期的なチェックとして内部監査とマネージメントレビューの項目が記述されている。機密情報の漏えい対策システムが、運用も含めて正しく稼働していることのサンプリングチェックを行うことは必要な作業である。

これからの機密情報漏えい対策

　個人情報に限らず、企業内に存在するさまざまな情報にはますますセンシティブな取り扱いが求められる。このような取り扱いを担保するためのセキュリティツールやシステムの導入、そして、それを運用する体制を維持することは必須のものとなるだろう。この最低限の水準を満たしていない企業は、いくら企業の業績が良くても市場から駆逐される時代が来るのもそう遠くはないかもしれない。さらに、日本版SOX法の施行により情報の機密性、完全性の確保はこれまで以上に重要となり、これに対する施策の有無が企業経営を左右するようになる。

　本連載では主に、個人情報保護法の全面施行を契機に、企業などが実施した個人情報や機密情報の漏えい対策とその課題について紹介してきた。しかしながら、企業などにおける情報漏えい対策に絶対的な解は存在せず、ましてやツールやシステムのみで何とかできるものではない。真剣に対応するためには、組織構成、ツールやシステムの運用方法、企業内教育や文化の育成など、さまざまな面を考慮して総合的に考えなければならない。個人情報をはじめとする機密情報の漏えいに対するリスクは、評価を行ったときの状態で固定されるのではなく常に変化し続ける。定常的な見直しを実施して、個々の状況に応じた解決策を図ることが肝要だ。

伊藤良孝

三井物産セキュアディレクション CTO兼事業開発センター長。国内大手システム構築企業、米国ISP企業を経て現職。MBSD不正アクセス監視サービス、脆弱性検査サービスの基盤構築を行なう。現在は、次世代の情報セキュリティ関連サービスの検討などを手掛けている。