編集部からのお知らせ
新着の記事まとめPDF「NTT」
おすすめ記事まとめ「MLOps」

内部不正による情報漏えい事件がもたらした教訓~企業が取り組むべき「セキュリティ対策の棚卸し」を考える~

ZDNet Japan Ad Special

2015-03-06 18:35

2015年は、社内セキュリティをゼロから考え直す年ではないか。多くの企業は今、内部犯行による情報漏えい対策の見直しを迫られている。そこで今回、デロイト トーマツ リスクサービス代表取締役社長丸山満彦氏に内部犯行が引き起こす大規模情報漏えいの傾向と、効果的な防御策について聞いた。

ゲスト:デロイト トーマツ リスクサービス 代表取締役社長 丸山満彦 氏
聞き手:ZDNet編集長 怒賀新也

怒賀2014年は大規模な個人情報流出や、特定企業に対する標的型攻撃の増加など、数多くのセキュリティ事件が報道されました。「2014年のセキュリティ10大ニュース」の第1位として、日本ネットワークセキュリティ協会は「大手教育系企業の顧客情報漏えい事件」を挙げています。まずはこうした状況を、どのように見ていますか?

デロイト トーマツ リスクサービス
代表取締役社長
丸山満彦 氏

丸山確かにこの企業は流出件数が大規模で、衝撃的なニュースとして社会的にも注目も浴びました。しかしこの企業に限らず、企業のITシステムの運用現場を見ていると、いつ内部不正が起こってもおかしくない状況は今に始まった話ではなく、昔から変わっていないと思います。むしろ、公表されない/報じられない"水面下の情報漏えい"が、いま相当数に増加しているのではないか、という懸念を強く感じています。

 確かに経済産業省のガイドライン(※)では「二次被害の防止、類似事案の発生回避等の観点から、個人データの漏えい等の事案が発生した場合は、可能な限り事実関係、再発防止策等を公表することが重要である。」としています(※※)。しかし全ての企業が、必ずしもこの企業のように遵守しているわけではなく、コンプライアンス意識が低い企業ほど漏えいをしているにもかかわらず公表もしていないのではないか。

※経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
※※上記ガイドライン30ページ 

怒賀内部不正に対して、いまだ十分なセキュリティ対策が講じられていないと。

丸山多くの企業では、内部不正を監視する組織体制と、アクセス制御を徹底する仕組みが構築されていないと思います。例えば、大きなシステム構築や運用のプロジェクトでは、委託先のSEやその先の再委託先の派遣SE、スタッフなど、5次・6次受けにまで委託されているケースもあり、"親元"の企業はどんな人材が働いているのか、どの情報に、だれがアクセスしているのかを厳密に把握できていないのではないでしょうか。私は米国のデトロイト事務所で現地企業のシステム監査を実施していました。その経験から言うと、日本企業は米国企業と比較し、アクセス制御を徹底していないと感じています。

 その理由の1つは、スタッフの「業務」に対するかかわり方の違いです。米国企業が人を雇う場合、仕事内容を明確にし、そのスキルを持った人材を雇用します。例えば、営業職で採用された人が、経理やマーケティングに異動することはほとんどありません。一方、日本企業は属人的に業務を行う傾向が強い。米国はその「職務権限」に対してアクセス権を与えますが、日本は「人物」に対してアクセス権を与えてしまう。その結果、日本は職務権限が曖昧になり、内部不正が起こりやすい環境になってしまうのです。

 こうした問題を防止するには、業務内容を定義し、アクセス権を明確化すること。必要な人が、必要な情報だけにアクセスできる「Need to Know」の環境を構築することです。残念ながら日本企業の多くは、アクセス権が"乱発"されているケースが多いと思います。

ZDNet編集長 怒賀新也
ZDNet編集長
怒賀新也

怒賀セキュリティ対策は費用対効果が見えにくいと言われていますが、一度情報漏えいが発生すると、その対策費用は莫大です。先の大手教育系企業の事件では、対応にかかる費用総額は200億円超とも言われています。企業はセキュリティ・インシデントによるリスクを軽視しているように感じます。

丸山一般的にはそう思います。多額の賠償金を支払うのであれば、会社全体を包括的に防御する堅牢なセキュリティ・システムを構築できます。よく指摘されていることですが、日本は米国と比較しセキュリティに対する投資額が少なく、対策も継ぎ接ぎだらけで穴があります。その最大の理由は、社内システム全体を俯瞰し、部門の枠を超えてセキュリティ・イニシアチブを発揮できるCISO(Chief Information Security Officer)/CSO(Chief Security Officer)がいないからです。

 例えば、システムの運用管理はIT部門が担当しますが、部署単位で利用しているWebアプリや業務アプリの脆弱性対応は、各部署が独自に実施しているケースも少なくありません。特に海外支店や子会社のセキュリティ対策は、現地任せであることが多いです。

 また、BYOD(Bring Your Own Device)を認めていても、デバイス管理をおろそかにしている企業も見受けられます。「誰が」「どのデバイス」から「どんなデータ」にアクセスし、「そのデータをどうした」まで把握できなければ、「アクセス制御でデータ管理を徹底している」とは言えないのです。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]