Tomo’s HotLine

先日想定したファイル交換インシデントの対処編３である。対処編２では応急対処について述べたが、本編では再発防止策を考える。

まず、社内からファイル交換ソフトの利用を制限しなければならない。方法としてはファイアウォールの直下にP2Pの通信を制御する装置を入れることも考えられるが、既存システムとの整合性などをチェックする必要もあり、簡単にはいかないだろう。このような装置を入れる前にやるべきことは全社員に対するセキュリティ教育である。

今回の件で教育をしなければいけない点として

・管理者が許諾した以外のソフトウェアのインストールは情報部の許可が必要である
・社内の機密情報を部門の許可無く持ち出さない

ことだろう。また、P2Pファイル交換ソフトを使用した際のリスクも教える必要があるかもしれない。
A社ではセキュリティ技術に長けている人材が少ないため、まずは外部コンサルティングに頼み全社員に情報セキュリティ教育を受けさせた。またこの際、私用のパソコンで仕事をすることを原則禁止にすることも通知した。

次にデータはデーターベースサーバから流失したと見られるが、アクセス権が多くの人に与えられた事が問題としてある。そこで、情報資産について分類し、どの社員がどこまでアクセスできるか検討する必要がある。その検討後、データのアクセスの制御を設定する。

セキュリティポリシについても見直しをする必要がある。特にA社では個人情報を扱っているため、その保護について強調できるようなものにする事が必要だ。C氏は外部コンサルティングと連携を取りながらセキュリティポリシを策定した。

また、どのような対策をしてもリスクは顕在化する可能性がある。そこで、C氏はコンティンジェンシープランを作成した。コンティンジェンシープランとは、インシデントが起きた場合どのように対処するかマニュアル化することである。検討の際にセキュリティ委員会を設けることと、インシデント発生時の連絡体制についても見直しを図った。セキュリティ監査についてはシステム構築毎に内部監査を行い、定期的に外部監査をすることにした。

C氏はこのような対策案を社長に提出した。社長も今回の件でセキュリティに関しては深い関心を示し、ISMSの認証、プライバシーマークの取得を目指すようにC氏に指示した。

＝＝＝＝

大切な事は技術論ではなく、セキュリティポリシの制定、コンティンジェンシープランの策定、セキュリティ教育、監査の実施などPDCAローテーションをきちんと回す事である。インシデントはいつか起きるということも忘れてはならない。