お詫びのお知らせが届く前に、企業が準備すべきこと(後編)
呉井嬢次(Johji Kurei)
前編では企業が巻き込まれる幾つかのインシデント(情報システムに関わるセキュリティトラブル)を紹介した。後半は、実際に企業が講じている対策を取上げていきたい。
契約書を見直す
業務の外部委託によってコスト削減を考える企業が多いが、インシデントが起きてから契約内容の不備に気づく企業が実に多い。例えば、守秘義務、機密保持に関する事項は含まれていても、サービスレベルに関する事項(いわゆるSLA)、トラブルが発生した場合の検査や監査権限が含まれていない。そんな契約書がある。これではトラブルが起きたとしても、トラブルの程度を定量的に判断し、原因を追求できない事態が発生する。インシデントを起こした企業に事後の対処を委ね、ただ待つしかない。
具体的にA社の例で説明しよう。A社は、情報システム部門を分離してB会社を設立した。B社は、A社からの委託業務をASP(アプリケーション・サービス・プロバイダ)業務を行なっており、A社のASPシステムにはB社の他の顧客(X社、Y社、Z社など)の情報も置かれている。ここでASPのシステムに対して、インシデント(不正アクセス、システムダウン)が発生すると、B社はA社に対して、システムの全容を見せることはできない。なぜならB社は、A社以外の顧客とも機密保持を含む契約をしており、システムの一部(ハードディスク)を共用で利用しているからだ。A社はこれまでB社の子会社であったことから、契約内容を厳しく検討してこなかった経緯がある。しかし、契約内容の見直しを実施することで、B社に対しては、「個人情報取扱い責任者の設置」、「検査できる権限(監査権限)の付与」等を追加することができた。
契約内容の見直しは、高価なセキュリティ製品を導入するよりも安く済む。契約内容を把握できる法務担当者の協力は不可欠だが、全ての取引先の契約内容を見直すことができる。これは会社がやるべきセキュリティ対策である。
重要な情報は暗号化して保存することを原則とする
個人情報や機密性の高い情報を取扱う情報セキュリティ会社では、指定された暗号ツールを使用することを定めている。これによって、業務で支給された記録媒体を紛失しても、重要な情報が外部に漏洩することを防ぐことができる。最近の記録媒体(ハードディスク、テープ)は大量に情報を保存が可能で、装置も手軽に入手できる。このため、情報漏洩には特に気をつけなければならない。記録媒体の紛失、悪意のある第三者による情報の持ち出しは、ニュースで流れる以上に非常に多い。にもかかわらず、情報を悪用されることを想定して追跡可能なデータを隠蔽している会社は少ないのが現実だ。
国内の銀行では、ICカードやアカウント管理によって制限を設け、USBメモリの使用を禁止して運用している。もちろんフロッピーも使用できないよう制限をかけている。このような記録媒体の利用制限をかける事例は、業務の遂行上重要なデータを持ち歩く必要がない、つまり社内有線LANのみで業務が遂行できる環境にしたからだ。しかし、営業担当者、コンサルタントなど、重要な情報を持参し、情報交換する仕事では、記録媒体を使うことになる。そこで暗号化ソフトウエアが有効なセキュリティ手段となる。しかし、暗号化してデータを処理している人は少なく、生データを記録媒体に保存して記録媒体を利用している。
さらに、市販されている暗号化ソフトウエアには、セキュリティレベルにバラツキがある。課題となるポイントを4つ挙げる。
・パスワードに使用できる文字が限られている(例:英数字のみ)
・ 最小利用文字数が制限できない(例:1文字でも設定できる)
・ 最大利用文字数が、限られている(例:10文字以内)
・ キーエスクロウに未対応である
以上を踏まえて、情報セキュリティ会社では、情報システム部門が暗号ソフトウエアを評価した上で暗号化ソフトを指定して運用しているのである。
最近では、秘密分散暗号というアルゴリズムによって、データを分割する暗号化ソフトを採用する企業も出てきている。筆者はe割符、SplitSafeを使用している。これならパスワードの総当り攻撃にも耐えられる。
例文集を準備する
最後にちょっとズルイ方法を紹介しよう。自社のセキュリティレベルを手軽に高める簡単な方法は、他社から良い点学習することである。他社の教訓を自社に活かしている企業は多い。インシデントが発生した時、迅速な対応ができるように今から準備しておくのだ。被害を出した企業のお詫びのホームページを眺めれば、誤解を与えないお詫びの書き方を学ぶことができる。また、下記のような書籍からも例文を入手できる。
「これだけは知っておきたい個人情報保護」
岡村久道、鈴木正朝 著(日本経済新聞社)500円
「個人情報保護例文集」 (ネットアンドセキュリティ総研)
http://shop.ns-research.jp/3/3/1892.html
このように、お詫びの知らせが届く前に、企業が準備できることはたくさんある。
※このエントリはZDNetブロガーにより投稿されたものです。シーネットネットワークスジャパン および ZDNet編集部の見解・意向を示すものではありません。
- 前のエントリー: お詫びのお知らせが届く前に、企業が準備すべきこと(前編)
- 次のエントリー: ホームページ改ざん事件の裏側
「ITセキュリティー下学上達」 のバックナンバー
-
事業継続マネジメントシステム認証制度の賢い作り方(2)
事業継続の対象範囲を安易に決めると、、、どうなるか 事業継続をこれから真剣に取り込む予定である企業は、事業継続の対象を適切な手法によって範囲を特定する必要がある。ある会計事務所系列のコンサルタン... -
事業継続マネジメントシステム認証制度の賢い作り方(1)
-
圧縮解凍ツールに脆弱性が発覚、対策はバージョンアップ!
-
米国海軍の侵入検知システムプロジェクトの終焉
-
住民票の写し、500円は、なぜ高いと感じるのか
- ITセキュリティー下学上達 一覧へ »
ZDNet Japan Essential Topic
-
エンジニアは何を求めて転職するのか!?
×各社キーマンが考えるキャリア -
コラボレーション基盤特集
Notes置換とバージョンアップの情報はこちら
企画特集
-
局所冷却に注目。
データセンターの冷却効率を向上し電力コストを抑制! -
仲間と情報を共有・公開する楽しみ方は?
ネットと家電をつなぐチャレンジ「Life-X」 -
NTTComのSaaS型アウトソーシングをレポート
インターネットゲートウエイの運用負荷を軽減! -
REAL IT COOL PROJECT
地球環境にやさしいITプラットフォームを目指して -
仮想化環境に適したサーバブレード新登場!
「ブレード×仮想化」に求められる機能要件を徹底追求 -
グリーンデータセンターの新潮流
GreenITの国内外の今の動向がわかる! -
Techno Exchange
「目白坂データセンター」にみる信頼性とグリーンの調和 -
今が選びどき!百花繚乱スマートフォン
各キャリア料金体系と最新モデルラインアップ -
国内シェアNo1
次世代VPNルーター標準機RTX1200 -
価格から質へと変わるアウトソーシング市場
多様化ニーズに応えるマネージドサービス -
Green Enterprise
最新のエコ対策とイノベーションをお届け! -
かつてのERPは死んだ--
CRM、SFAを含む新しいビジネスアプリケーション特集 -
情報大洪水時代を生き抜くソリューション
最新の企業内検索ツールでビジネスプロセス改善 -
ZDNet Japan ログ管理
ログ管理に関する最新情報は、ここでチェック! -
RSA enVision
【第3回】小さく導入し大きく展開できる導入の容易さ -
データバックアップで事業継続力を向上!
日本CA リカバリ・マネジメント・ソリューション -
エンタープライズサーチ特集!
ConceptBase、SMART/Insight、Accela BizSearch -
リバーベッドのSteelheadアプライアンス
WAN高速化でビジネスアプリケーションの効率改善! -
MicrosoftもOracleもDWH市場に参入!
3年間で40社以上への国内納入実績を持つ強みを解説 -
なぜ、ERP 導入は敷居が高いのか?
【事例】マイクロソフトのERPによる日本の商習慣対応
Intel Video Series
-
マルチコア開発にどのように追いつくか
2008年11月18日 -
マルチコアの可能性は無限 – いつ始めるか?
2008年11月18日
