いつから実現できるのか、実現可能性はどの程度か
データベース管理における方針については適切ですが、残念ながらこの英断もすぐに実施という訳にはいかないでしょう。
なぜなら、データの持ち方を変えればシステムはすべて変更しなければいけないからです。もともとデータを分散して持つことを前提にしていたのですから、そのままデータの参照元を変更しただけで運用ができると考えるのは無理があります。
まずは業務の精査、そして適切なアクセス権付与の計画、アクセス制御における説明責任のための仕組みづくり、そしてサービスとしての実装という形で進めていく必要があります。
私がこの5年ほど、クラウドセキュリティを専門として、ガイドラインや国際標準を作っていく中でのディスカッションで理解できたことの1つに、“システムのサービス化なくしてガバナンスはない”という原則があります。
今回のデータベースの一元管理を例に取れば、データ管理サービスをホールディングスが担うということです。もちろんこれに伴うID管理もホールディングスで担うということになります。少なくとも、この2つ機能を事業会社の改変などに対応できる形でサービス化する必要があります。
システムログや通信ログ、本報告書ではSQLコマンドなどのモニタリングなどを実施するとありますが、それはガバナンスの機能の一部ですし、システム単位で担うことであり、ガバナンスとしてはごく一部の機能ということになります。
つまり、全体を管理するためにはさらにシステム全体を見直し、システムのそれぞれの機能のサービス化、サービス利用のモニタリング、モニタリング結果のリアルタイムなレポーティングなどが必要になります。
しかしながら、本報告書の内容ではこれが定期的な監査ということで、事故や事件の早期発見にはつながらない形にまとめられているのが残念です。
理想的な環境づくりのために実施が望まれること
本報告書では、データベースへのアクセス制御やデータのグルーピング、シンクライアントの導入、ログのモニタリング、責任の明確化などが記載されていますが、これらの連携についての内容が不足しています。
組織体制に関する再発防止策の中に、内部不正対策の基本方針の策定、組織上の責任の明確化(資質、経験のある責任者の任命)、監視機能の組織的強化、個人情報に関する組織上の責任の明確化、シンフォームの組織・人事改革、実効的な監査、第三者期間の設置などといったことが記載されていますが、それを実現するための方法についてはまだ検討ができていないようです。
実はこの記載が本報告書の内容の実現についての信頼性を低下させているように感じてしまいます。対策の1つひとつが技術的なものに寄りすぎていて、本来求められているグループ全体のガバナンスというものについての欠如をいっそう感じさせているように思えてなりません。
きつい言い方をすれば、どの対策も枯れた技術ではあり信頼できるものではあるものの、対症療法的なものに感じられ、これからもサービスを提供し、事業を拡大していくためのセキュリティ対策ということにつながっていない様に感じられてしまうのです。