2つ目は、ある企業が重要情報を含んだシステムの運用を外部委託しており、委託先がその一部運用を再委託している状況下で発生したインシデントだ。大まかな経過は以下の通り(図2)。
主な原因は、再委託先に対する重要情報へのアクセス権限管理の不備だ。この例のように再委託先の人員の内部不正によって、情報漏えいのインシデントが発生するケースがある。委託元は内部不正を防止する観点で、情報セキュリティの要求事項の中で、委託先およびその先の人的管理について明示すべきだ。その実施状況を定期的、継続的に確認することも必要になる。
ID管理の観点では、委託先/再委託先のアカウントとアクセス権を実運用に即した権限にする必要がある。最低限業務に必要な権限に絞り、一部の人に権限が集中しない形に設定し、定期的に見直す。アクセスログは確実に取得し、一定期間保管する。管理対象が多い場合はID管理製品、ログ収集保管管理製品を導入するのも一案だ。
アップルのiPad Pro炎上CMにサムスンが一撃 「クリエイティビティーはCrushできない」
Appleらしからぬマーケティングの失敗から数日後、Samsungは「Galaxy Tab S9」を訴求する...
電話・スマホでのコミュニケーションは「通話」? 「テキスト」?
クロス・マーケティングが全国の20〜69歳男女を対象にした調査によると、電話やスマホで...
商品のパッケージが変わると購入意欲につながる?
商品のパッケージデザインの一新が新規購入とその後のリピート購入にどの程度つながって...