お詫びのお知らせが届く前に、企業が準備すべきこと(後編)

呉井嬢次(Johji Kurei) 2005-06-07 14:08:00

 前編では企業が巻き込まれる幾つかのインシデント(情報システムに関わるセキュリティトラブル)を紹介した。後半は、実際に企業が講じている対策を取上げていきたい。

契約書を見直す

 業務の外部委託によってコスト削減を考える企業が多いが、インシデントが起きてから契約内容の不備に気づく企業が実に多い。例えば、守秘義務、機密保持に関する事項は含まれていても、サービスレベルに関する事項(いわゆるSLA)、トラブルが発生した場合の検査や監査権限が含まれていない。そんな契約書がある。これではトラブルが起きたとしても、トラブルの程度を定量的に判断し、原因を追求できない事態が発生する。インシデントを起こした企業に事後の対処を委ね、ただ待つしかない。
 具体的にA社の例で説明しよう。A社は、情報システム部門を分離してB会社を設立した。B社は、A社からの委託業務をASP(アプリケーション・サービス・プロバイダ)業務を行なっており、A社のASPシステムにはB社の他の顧客(X社、Y社、Z社など)の情報も置かれている。ここでASPのシステムに対して、インシデント(不正アクセス、システムダウン)が発生すると、B社はA社に対して、システムの全容を見せることはできない。なぜならB社は、A社以外の顧客とも機密保持を含む契約をしており、システムの一部(ハードディスク)を共用で利用しているからだ。A社はこれまでB社の子会社であったことから、契約内容を厳しく検討してこなかった経緯がある。しかし、契約内容の見直しを実施することで、B社に対しては、「個人情報取扱い責任者の設置」、「検査できる権限(監査権限)の付与」等を追加することができた。
契約内容の見直しは、高価なセキュリティ製品を導入するよりも安く済む。契約内容を把握できる法務担当者の協力は不可欠だが、全ての取引先の契約内容を見直すことができる。これは会社がやるべきセキュリティ対策である。

重要な情報は暗号化して保存することを原則とする

 個人情報や機密性の高い情報を取扱う情報セキュリティ会社では、指定された暗号ツールを使用することを定めている。これによって、業務で支給された記録媒体を紛失しても、重要な情報が外部に漏洩することを防ぐことができる。最近の記録媒体(ハードディスク、テープ)は大量に情報を保存が可能で、装置も手軽に入手できる。このため、情報漏洩には特に気をつけなければならない。記録媒体の紛失、悪意のある第三者による情報の持ち出しは、ニュースで流れる以上に非常に多い。にもかかわらず、情報を悪用されることを想定して追跡可能なデータを隠蔽している会社は少ないのが現実だ。
 国内の銀行では、ICカードやアカウント管理によって制限を設け、USBメモリの使用を禁止して運用している。もちろんフロッピーも使用できないよう制限をかけている。このような記録媒体の利用制限をかける事例は、業務の遂行上重要なデータを持ち歩く必要がない、つまり社内有線LANのみで業務が遂行できる環境にしたからだ。しかし、営業担当者、コンサルタントなど、重要な情報を持参し、情報交換する仕事では、記録媒体を使うことになる。そこで暗号化ソフトウエアが有効なセキュリティ手段となる。しかし、暗号化してデータを処理している人は少なく、生データを記録媒体に保存して記録媒体を利用している。
 さらに、市販されている暗号化ソフトウエアには、セキュリティレベルにバラツキがある。課題となるポイントを4つ挙げる。
・パスワードに使用できる文字が限られている(例:英数字のみ)
・ 最小利用文字数が制限できない(例:1文字でも設定できる)
・ 最大利用文字数が、限られている(例:10文字以内)
・ キーエスクロウに未対応である
以上を踏まえて、情報セキュリティ会社では、情報システム部門が暗号ソフトウエアを評価した上で暗号化ソフトを指定して運用しているのである。
 最近では、秘密分散暗号というアルゴリズムによって、データを分割する暗号化ソフトを採用する企業も出てきている。筆者はe割符、SplitSafeを使用している。これならパスワードの総当り攻撃にも耐えられる。

例文集を準備する

 最後にちょっとズルイ方法を紹介しよう。自社のセキュリティレベルを手軽に高める簡単な方法は、他社から良い点学習することである。他社の教訓を自社に活かしている企業は多い。インシデントが発生した時、迅速な対応ができるように今から準備しておくのだ。被害を出した企業のお詫びのホームページを眺めれば、誤解を与えないお詫びの書き方を学ぶことができる。また、下記のような書籍からも例文を入手できる。

「これだけは知っておきたい個人情報保護」
  岡村久道、鈴木正朝 著(日本経済新聞社)500円
「個人情報保護例文集」 (ネットアンドセキュリティ総研)
  http://shop.ns-research.jp/3/3/1892.html

このように、お詫びの知らせが届く前に、企業が準備できることはたくさんある。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR