「防ぐだけではなく、気付くための仕組み作りを」ディアイティ河野氏
特別講演には、ディアイティ セキュリティサービス事業部 河野省二氏が登壇。「今年発生した重大な情報漏洩事故から学ぶ 被害を最小限にするための情報管理とガバナンス」と題し、経営者がどのように情報セキュリティを考え、効果的な対策を講じていくかについて、数々のヒントを紹介した。
河野氏は、経済産業省のクラウドセキュリティ研究会やセキュリティガバナンス研究会、IPAセキュリティセンター研究員などを兼務し、政府が発行する各種ガイドライン作成にも関わる、セキュリティの制度設計や監査、啓発のスペシャリストと呼べる存在だ。
同氏はまず、最近の情報セキュリティ事故のおさらいとして、ベネッセグループからの約3500万件とされる情報窃盗、日本航空(JAL)に対して起こったウイルス感染による約1万件のデータ不正送信、その他のアカウントリスト型攻撃による不正アクセスを紹介。これらの問題の“本質”として、顧客から問い合わせがあるまで1年以上犯行に気付かなかったこと(ベネッセ)、ウイルス対策ソフトで検知できずウイルスの種類も感染経路も不明だった(日本航空)にあると指摘した。
ディアイティ
セキュリティサービス事業部
河野省二氏
「インシデント管理の原則は、被害の極小化にある。事故が発生しても影響がでないような仕組みをつくることが大切だ。また、影響を少なくするためには“事故に気付く”体制作りも欠かせない」と河野氏。最近の事故は、この仕組みや体制が整っていないことに問題があるわけだ。
特に内部犯罪の場合は、犯行に至る動機がギャンブルや交際費であることも多く、そうした場合、他人に気付かれるまで、永遠に犯行を続けることになるという。では、誰よりも早く異常に気付くための情報セキュリティの体制作りは、どう進めればよいのか。
まず必要なのは、現場で起こっていることを経営陣が把握できるようにすることだ。具体的には、情報セキュリティに関する指示は経営陣が行うこととし、すべての報告(情報)は経営陣に集まるような組織に作り変えることだ。
また、異常を検知できるようにするためには、日常を知ることが欠かせない。単に「ウイルス感染したかどうか」だけではなく、日常と違う振る舞いが起こっていないかから逆に感染の有無を調べるといった発想の転換が必要だ。システムだけでは気付かないことも多い。そこで、たとえば、特権が必要な業務について申請を必須にし、申請内容を超えた作業が行われた形跡がないかをチェックすることも有効だという。
そのほかにも、情報のラベリングを適切に行うこと、情報のコピーを増やさずに一元管理できるようにすること、情報セキュリティの目的を明確にし、業務ベースで対策を実施するといったポイントを挙げた。
最後に河野氏は、「情報セキュリティをどこまでやるか」という、どの企業も悩む課題についても言及した。ポイントは、起こってしまった場合の影響度を具体的なコストとして計算することだ。
河野氏によると、日本企業では、重要な情報について「可用性」「完全性」「機密性」のうち、機密性を重視した対策に終始しがちだ。漏れないように万全の対策を施そうとするため、際限がなくなる。そこで「漏れることを前提に、その場合の影響度をベースにして、ときにはリスクを受け入れるという選択肢を含めて、リスクマネジメントを行っていくことが重要になる」と強調した。
朝日インタラクティブは本記事の講演資料を、こちらで公開している。