NIKKEI

トップ>企業マネジメント最新トレンド>企業の生命線!情報漏洩の防止に必要なこと

企業の生命線!情報漏洩の防止に必要なこと

情報セキュリティー・コンプライアンス・内部犯罪などのスペシャリスト

第4回実は内部も外部も表裏一体、この心とは?
~企業体質自体が問われはじめている~

まずは、本記事が話題となり様々なご意見を頂戴致しました。そこで本記事については少しだけ深掘りをさせていただき5回シリーズにてお届けしたい。

よって最終回では、私が20年以上もの間、情報漏洩や内部犯罪に遭遇した経験や、米国公認不正検査士という立場上得た驚きの事実を例に挙げ、皆様の教訓の1つとして、企業にとって健全な状況を少しでも維持できるよう、述べていく。

様々な事象をご覧いただいた前提で、企業をどう防衛すべきか、とくに資金が潤沢ではない大部分の民間企業においては、理想論ではかなわない点は多々あると思われる。

コスパ(コストパフォーマンス)でみる情報漏洩対策法

1:プロジェクトは1本化

内部犯罪、サイバー攻撃、HPの脆弱性...これらについて、それぞれプロジェクトチームを組成し、それぞれのベンダーやシステムインテグレーターをコンペで選出し...それではダメ!

資金が潤沢で使うところがない、という企業は別ですが、そうでないなら、要は「わが社にとって情報漏洩をさせない対策」を行えばよい。

その場合は、サイバー攻撃や内部犯罪という切り口ではなく「情報漏洩防止対策プロジェクト」として1箇所で扱うべきである。数多くコンサルティングをした経験では費用がおよそ3割も違ってくる。

2:内部統制は基本

内部統制がしっかりしている企業は、外部からの攻撃も内部犯罪もある程度はしっかり対策している。またそうでない場合でも、コンサルタントが的確に指導すれば、少ない労力で大きな成果を生んでいる。ぜひ、内部統制は基本と考え、しっかりとした「教育」と「体制」にすべきである。

3:単体のウイルス防御は難しい

ウイルス対策については、どのソフトもどんぐりの背比べとは思ってはいけない。明らかに「情報セキュリティEXPO」などの展示会に出展しているウイルス対策メーカーの発信内容が2,3年前とは大きく異なっていることに留意すべき!

その昔、「我がウイルス対策ソフトを使えば、ほぼ完ぺきにウイルスの恐怖から逃れられる」

というパターンが圧倒的に多かった。しかし少し前から「万一、ウイルスやBOTに感染しても、こういう防御を事前に組み込めば被害は最小限に抑えられます」という言い方に変化している。

その真意をよく考えていただきたい。いまや単体のウイルス防御では難しい時代となり、パターンテーブル、シグネチャー、ヒューリスティック対応などのスタティックな防御では限界になりつつある。

だから、某対策ソフトではハードメーカー(例えばインテル)と一緒になりハードやファームレベルからの対策を施し、例えばBIOS型ルートキットなどの防御では極めて高い防御層を築くなど、対策ソフトメーカーごとに長所を生かした総合対策が必要となっている。

4:「振る舞い検知」は究極

内部犯罪での情報漏洩防止の基本は多層防御+振る舞い検知である。1つ1つの行動(アクセス、変更、印刷、削除など)がそのIDでは許されていても、あるグループとして監視して正規のプログラムとは違う挙動を発見した場合にイエローカードやレッドカードを出すというように、仕組みで防御する仕組みを「振る舞い検知」(サーバーなどの振る舞い検知とは別物)という。究極の犯罪防止システムといわれ、究極という理由は、例えば横領を画策している従業員がいたとして、統計学的確率論などで「今月中に横領する可能性は92.8%以上あり」と割り出すことが可能になるからだ。詳細な内容はここでは割愛したいがすごいシステムである。

5:出口対策を重視

外部の場合なら入り口対策は当然、最低限のレベルは実施していること。最悪無視してもいい。出口対策は最後の砦。重視することが望ましい。しかし例外もあるので自社システムの特性を熟知して対策すること!

6:「そうなった」場合が大切

「〇〇をさせない対策」を考える団体・企業の理事会や取締役会が多すぎる。日本人の感性は9割良いがここはダメだと私は思う!

いつもお話しているが、「そうさせないシステム」ではそれが突破されたときに全員が右往左往する。「そうなった場合の体制・システムを熟慮」すべし!

7:サービス提供事業者を過度に頼らない!

昔から付き合いもあり、親身になってくれるサービス提供事業者の言うことでも、そればかりを鵜呑みにすることは勧められない。各企業にはそれぞれに合った情報システムのあり方があり、まずは自社内でよく研究して無駄を省いた効率的なシステムを築いてほしい。中小企業ではなかなか難しいかもしれないが、不正対策と同じで最後は必ずチェックすることが重要だ。

3年前に私の講演を聴講した某システム担当者は基幹システムのチェックを私に依頼、システムの贅肉をそぎ落とした結果なんと1億6千万円もの削減に繋がったことがある。

信頼するからチェックしない(日本)ではなく、信頼を継続させたいからチェックする(国際感覚)。この違いを知ること!

8:HPテストの手抜き

HP制作後のペネトレーション・テストや典型的な脆弱性テスト(XSSやCSRFなど)は、必ず正規従業員の手で専門業者を交えてチェックしたい。

そのためにシステム担当者には最低限のスキルを持たせる教育体制が不可欠。(そんなに費用が嵩むものではありません)

今や基幹システム以上にHPがクローズアップされる。なぜならHPがもし乗っ取られTOP画面がヌード写真になっていたり(実際に米国でありました)、お客様のネットバンキングシステム自体に(金融業の場合)バックドアが仕掛けられていたら、該当の役職は懲戒免職になっても不思議ではありません。また中小だからという言い訳は全く通じません!



さて次回は、これらのシリーズの最終回ということで事例を交えて総復習をお届けしたい。ぜひお読みいただければ幸いです。

プロフィール

情報セキュリティ・コンプライアンス・内部犯罪などのスペシャリスト
萩原栄幸
[所属・役職]
日本セキュリティ・マネジメント学会常任理事
「先端技術・情報犯罪とセキュリティ研究会」主査
社団法人コンピュータソフトウェア著作権協会技術顧問
CFE 公認不正検査士
[略歴]
旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行システム部に在籍、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに、講演・執筆・コンサルティングと幅広く活躍するセキュリティの第一人者。
著書に「個人情報はこうして盗まれる」(KKベストセラーズ)や 「よくわかる!情報セキュリティの基本」(PHP研究所)など多数。

[バックナンバー]企業の生命線!情報漏洩の防止に必要なこと

企業マネジメント最新トレンド 一覧へ

日経産業新聞 ビジネス動画 動画で見る、話題の新製品・先端技術 詳しくはこちら

日本大学 通信教育部

月間アクセスランキング

  1. 企業マネジメント最新トレンド
    ISO9001及びISO14001の具体的な改正内容とその対応のスケジュール
  2. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正における具体的な取組み方法
  3. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正を契機としたISOの活用方法
  4. 企業マネジメント最新トレンド
    正しい売上・利益計画の立て方
  5. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正の背景と意図

日経産業新聞ピックアップ

2017年10月24日付
  • フィットビット、日本で企業向け開拓 まず三菱自健保向け健康管理
  • 星明かりでも高感度撮影 キヤノン、ネット対応カメラ
  • ゴム、輪状化合物で強く 東工大
  • 日本ガイシ、低レベル放射性廃棄物の重さ50分の1に
  • 世界のEV普及、2025年から加速

経営喝!力 ビジネスIT活用index