内部脅威には権限を厳格な切り分けで対抗
ZDNet 2014年は、大きな事件も起こり、内部脅威に注目が集まりました。どのような方針で臨んでいますか。
新田氏 具体的な対策としては、USBでの書き出しなどについてログを取得することや、データベースへのアクセス制限、契約書での歯止めやルールの制定などです。
芝崎氏 基本的には、アクセス管理、ログの取得、モニタリング、専用のゾーン部屋からのアクセス、上長の承認といった仕組みで対応しています。
木下氏 当社も、アクセスの厳格な管理とログの収集監視が基本です。データの重要度によっては、協力会社であってもアクセス制限することなどを決めています。
ZDNet 2014年の事件では、委託会社へのセキュリティ対策をどうすべきかが課題になりました。その辺りはどう対策されていますか。
木下氏 まず、100%出資のグループ会社は委託とはみなしません。別会社であっても、当社のルールに則って作業してもらっています。一方、協力会社の担当者には、重要なシステム自体の権限を一切与えないという切り分けを実施しています。
新田氏 われわれも同様です。作業のログを取得してモニタリングします。また、個人情報などの重要情報には許可された特定の人間しかアクセスできないかたちにしています。
村木氏 現実問題として、日々業務を担当している人間の「魔が差した行為」までは防ぎようがないと思います。セキュリティ対策というよりも、日々の労務管理という点で見ていく必要があると思います。
芝崎氏 アクセス権限を持ったものが故意に行う犯罪を防ぐことまではできません。定期的な監査、業務視察、および有事にログからすばやく対応できる仕組みしていくことが重要だと思います。また、個人情報の漏洩と並び同様に、意図的にデータを破壊する行為も考えておく必要があるでしょう。
今後の取り組みのテーマ
ZDNet セキュリティについて、今後の展開を教えてください。
木下氏 標的型攻撃については、サンドボックスやSIEM、統合ログ監視といった取り組みをどこまで進めるべきか注視しているところです。業務の状況を見ながら進めていく予定です。
村木氏 そうですね。いまはどちらかといえば入り口対策がメインなので、侵入を想定した出口対策をもう少し強化しようとしています。侵入をもらさずに検知して、最小限度にとどめるかはとても重要です。
新田氏 技術面では、状況に応じて新しい打ち手を導入していくつもりです。あとは、グループ会社のセキュリティレベルを同様の水準にしていくこと、海外拠点のセキュリティ対策とセキュリティ教育をどう拡充していくかですね。
芝崎氏 ITだけでは解決できるものではありません。ルールや罰則づくりも含めて、人事、総務・事業場、ITによる三位一体での取り組みが大切です。それらをいかに社員現場に徹底できるかも含めて取り組みを進めているところです。
ZDNet 本日は誠にありがとうございました。