C0FFEEの日記: マイコミジャーナル 情報漏えい対策"虎の巻" 目次
マイコミジャーナルに、情報漏えい対策特集記事が掲載されていました。
あとで読むためのインデックスが欲しかったのでメモしておきます。
基本的に、書かれている内容そのままの要約ですが理解のために、
主旨が変わらない範囲で文言を補ったり改変した箇所があります。
自分の考察等は色々ありますが、ここには反映していません。
というか、記事を分割するのはいいけどブクマが一箇所で済む目次を最初から用意してください>マイコミ
情報漏えい対策"虎の巻" 中康二/オプティマ・ソリューションズ
『出典:システム開発ジャーナル Vol.9(2009年3月発刊)』
1 PDCAによる情報漏えい対策
「自社にある情報とリスクの洗い出し」
「情報一覧表」
情報の名前、管理部署や担当者名、保管形態,媒体、情報概要、利用目的、件数、廃棄予定年月
「リスク管理表」
4つの局面(入手、利用、保管、廃棄)毎に作業名、想定リスク、リスク対策、対策手順書・規定文書、規定項番
「情報管理規程の作成」
「情報管理規程」
実績のあるモデルを雛形に作成
社団法人コンピュータソフトウェア協会/個人情報保護安全対策管理規程
チェック項目
適用範囲
用語および定義
関連法令、ガイドラインなどの確認
情報管理のための体制と各自の役割
委託先の監督
社員に対する教育
社内監査
代表者による見直し
万一の緊急事態への準備
改定方法
「集合研修の実施」
1時間程度の研修会 すべての社員を対象、すべての社員に行ってもらいたいセキュリティ対策を
ポイント
難しいことではないということを社員に知ってもらう
こんなに簡単でいいの?と思わせるぐらい説明内容や小テスト
少しずつ難しい内容を含める
「運用の開始」
物理的セキュリティ対策
業務上の情報を取り扱う領域に関する入退館(室)管理
ノートPC、USBメモリ、CD-R、書類などの持ち出し・持ち込みの制限
機器・装置などの漏水、火災、停電からの保護
ノートPC、USBメモリ、CD-R、書類などの盗難の防止策
文書の廃棄時のシュレッダーの使用
ハードディスク、USBメモリ、CD-Rなどを廃棄する際のデータ完全消去
技術的セキュリティ対策
個人単位のIDの発行、推測されにくいパスワードの使用と定期的な変更
業務上必要なIDだけにアクセス権限を与える制御
アクセスの記録を残す
ウイルス対策ソフトの使用、定期的な更新
OSやソフトのセキュリティパッチの適用
データ移送の際の安全対策
電子メールなどでデータ送信する際の暗号化
Webサイトで個人情報を取得する際の暗号化
システムテスト時に本番データを使用しない対策化・システムの動作状況の監視化
【CHECK・監査】確認と是正の指導を行う
社内の複数部署から監査人を1年交替で選定
所属部署の監査省略を防ぐ
作業化によるで監査基準低下を防ぐ
規程の各項目チェックシートに沿って各部署巡回
不適合事項発見→当該部署の管理責任者経由で是正指導
監査の有効性(継続と効率)を高める
特定の項目を抜き出して確認
部署毎の取扱情報に関連する項目
他社での事件などの事例に関連する項目
【ACTION・見直す】次年度に向けたトップへの報告
1時間程度の報告会 社長
改善点→来年度のPLAN(計画)ステップに反映
報告のポイント
社内監査の結果
情報管理体制の運用状況に関する報告
法令、ガイドラインなどの改定状況
社会情勢、一般の認識、技術の進歩などの諸環境の変化
内外から寄せられた苦情や意見、改善のための提案
2 最低限のセキュリティ対策
2-1 物理的セキュリティ対策
入退館(室)管理
「オープンエリア」
誰でも立ち入り可能
流出したら困るような情報を取り扱わない
「セキュリティエリア」
原則として社員のみ立ち入り可能
社外の人が立ち入る際は、会社名と氏名などを記録
望ましい区分
人間の背の高さよりも高いパーティションで区切る
電子ロックを装備したドアは必須ではない
困難な場合
カウンターで仕切る
床に線を引く
部外者の立ち入りを禁止を明記する
持ち出し・持ち込みの制限
情報を保存して持ち運びできる媒体や機器を管理下に置く
通し番号を付与して一覧表にする
持ち出す場合や持ち込むの際、各部署の所属長の許可を得る
媒体や機器の利用禁止が必須ではない
盗難への対策
共有情報と個人管理情報の区分けを明確化
共有キャビネット
各自の机の引き出しの鍵
行動規範の周知徹底
不要な場合は持ち出さない
持ち出す場合は常に注意を怠らない
情報の廃棄
紙媒体
シュレッダー
溶解処理
記録媒体・電子機器
物理的に破壊する
2-2 技術的セキュリティ対策
個人単位のIDの発行、パスワードの使用と定期的な変更*1
IDは個人単位で発行する
パスワード入力を必須にする
長さや文字種に制限を加える
ユーザーに定期変更させる
業務上必要なIDだけにアクセス権限を与える制御
アクセスの記録を残す
情報流出発生後のトレーサビリティ確保
イベントビューアの保存期間を1年間などに長くする
ウイルス対策ソフトの使用、定期的な更新
選定ポイント
ベンダーによっては対策が遅れる種類のウイルスがある
日本国内のユーザーだけをターゲットとしたウイルスなど
OSやソフトのセキュリティパッチの適用
Windowsの自動更新機能をオンに
ミドルウェアのアップデート情報に注意
業務システムの使用に支障が出る場合→対応状況を随時通達
データ移送の際の安全対策
荷物のトレーサビリティを確保できる手段で送る
データ送信する際の暗号化
電子メールで大事な情報を送ることは潜在的にリスクを伴う
厳重な暗号化(AES256bitなど)を施す事が望ましい
セキュリティが確保されたファイル転送サービスなども検討する
Webで個人情報を取得する場合
Webサイトから個人情報を取得する場合は必ずSSL化する
予算に応じてASP事業者のサービス利用を検討
システムテスト時のセキュリティ対策
システムテストは可能な限りダミーデータを使用する
最終テストはプロジェクトメンバー単独ではなく自社の責任者を同席で実施
システムの動作状況の監視
データベースは専任担当者が24時間リアルタイム監視することが望ましい
日常的に使用するPCの監視にはそこまでの監視は必須ではない
*1 参考:俺俺新聞
産業技術総合研究所情報セキュリティ研究センターの高木浩光主任研究員は、「これまで文系のセキュリティ屋がお経のように唱えてきた『パスワードを定期的に変更せよ』とかいう対策は何の防御策にもならない。ユーザーは、ソフトウェアを常に最新のものにして、マルウェアを誤って実行しないよう注意するしかない。安全なファイルの開き方を学校教育で教えるべきだ」と話している。
3-1 企業が抱える問題
セキュリティという観点では、「規模の論理」は通用しない
「対策する=制限する」に偏った情報セキュリティ対策は結局「社員のモラルに依存する」
ネットエージェント株式会社企画部広報担当部長 中山貴禎氏
「情報システム部門のスキルレベルが著しく低下している企業が増えています。情報システム部門が、単なる運用・保守といった"警備員"的な役割しか果たしていない企業も少なくありません」
「ウチはシステム担当が100人います!と言われたって、平均的な人たちが100人いるだけではダメで、むしろ"できる人"がひとりいる状況の方がよほど効果的なことも多いのです」
「そもそも、社員が快適に仕事ができない状況にしておいて"社員のモラルに依存する"というのは、無理があるとしか言いようがありません」
3-2 IT業界が抱える問題
ベンダーは技術(やスペック)をアピールするばかりで、実際の「運用」まで考えられていない開発になりがち
ベンダーだけではなく、産・学・官がまさに三位一体となって変えていかなければならない
ネットエージェント株式会社企画部広報担当部長 中山貴禎氏
「今のIT業界は、"サプライサイド指向"という発想から抜けきれていません。最近は"顧客指向"という掛け声がよく聞こえてきますが、他の業界から見たら当たり前のことです」
「機能の必要性や運用の利便性、そして最も重要な『それで何ができる』という点を軽視しがちだったのです」
「このままだと、多くのユーザーに『IT業界はダメなんじゃないか?』と思われてしまうでしょう」
3-3 「気持ち」への配慮が重要
ルールを作るのも守るのも"人"であり、そこに「気持ち(メンタル)」の存在があることを忘れてはならない
ネットエージェント株式会社企画部広報担当部長 中山貴禎氏
「企業によって情報セキュリティのポリシーはまちまちですので、一元的に"こうすれば大丈夫"という答えはありません」
「当然のことを当然のごとく継続的に実施すればいいのです」
「ルールでは禁止されていても、実際にはデータを持ち帰って仕事をする社員がいなくならないなど、この"当然のこと"を実現するのは、思っているほど簡単ではありません」
「すべてを守ろうとするのではなく、"守るべきもの"に対して優先順位を付けることが重要です」
4-1 その1 関係者を招集する
緊急会議
「緊急連絡網」
状況の発見者
システム管理者
情報管理責任者
社長
発生した事象を知る
どのような情報が流出したのか
どのくらいの規模で流出したのか
流出経路は何か
4-2 その2 対応策を検討する
該当情報システムの停止、ネットワーク切断、アクセスログの保管など
内部の犯行の場合は、担当者の権限の停止、または拘束
委託先での発生の場合は、委託先への指示
流出を抑えるための緊急の対策
個人情報の漏洩の場合は、本人への連絡や謝罪など
関係機関(監督官庁、業界団体、警察署など)への報告
外部への公表
再発防止策の徹底
外部からの攻撃の場合
被害のあったシステムのログ解析
サーバ類をネットワークから分離
サーバ類の入れ替えまたはクリーンインストールしたHDDへの交換
サーバ類のパスワード変更
ファイアウォールの設定変更
侵入検知システム(IDS)の導入
内部からの漏洩の場合
業務情報が外部の第三者に知られている場合、内部犯行を疑う
外部の第三者が持っている情報が本当に自社の情報であるかどうかを確認する
誰から流出したのかを調査する
流出元のPCをネットワークから分離
流出元のPCを保管
(必要な場合は)別のPCを使わせるようにする
4-3 その3 被害者の救済と拡散防止
流出情報によって被害を受けた個人や組織への適切な支援
事実を伝えて直接謝罪する
二次被害を防ぐための対処方法を伝える
想定されるリスクを伝える
5-1 約10万件のカード情報が流出(2008年4月)
サウンドハウスの事例
SQLインジェクションで顧客約10万人の情報が流出
氏名、性別、生年月日、同社サイトのログインID・パスワード、クレジットカードの番号・カード名義・カード有効期限
実際に悪用された段階で発覚
ログ解析に400万円、セキュリティ対策に2,500万円弱
クレジットカードの利用は許可されていない
マイコミジャーナル 情報漏えい対策"虎の巻" 目次 More ログイン