Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

情報漏洩対策に求められる体系的な防御とリスクマネジメント


 東京ビッグサイトで開催されているセキュリティ関連イベント「第1回情報セキュリティEXPO」で7日、「『リスクマネジメント』実践のコツ~どのように考え、どこから取組むか~」と題された講演が行なわれた。同講演は主に経営者層を対象にした内容のため、本誌の読者にとっては当たり前の内容が多いかもしれないが、確認の意味も含めてご紹介したい。


組織の関与・内部犯罪の増加に対し体系的な防御が必要

 講演の前半は、日本IBMから総務省CIO補佐官に就任したという異色の経歴を持つ大塚寿昭氏が、「総務省の考えというわけではなく、あくまで私的な考え」として、昨今の情報セキュリティ全般について語った。

 まず大塚氏は、「最近はUSBメモリやコンパクトフラッシュなどのメモリカードが非常に小型化しており、例えばUSBメモリを靴下に入れて金属探知機に探知されずに通過できるかと警察庁の関係者に尋ねたところ、ベルトのバックルが検知されないのと同じでおそらく検知されないだろうと言われた」と述べた。また、「今身につけている腕時計にもUSB端子が付いていてメモリ機能がついているし、USB端子付きのボールペンもあり、これらは全て普通に家電量販店で手に入る」と語り、「こういったものをサーバールームに持ち込まれるとデータのコピーやスパイウェアを仕込むなどいろいろなことが可能だが、これに対して手を打っている人はいないのではないか」と問題点を指摘した。

 さらに、「以前はホームページ改ざんやDoS攻撃のようにすぐに症状が出るタイプの愉快犯的犯罪が多かったが、最近はジャパネットたかたの個人情報漏洩事件で名簿流出から事件発覚まで6年かかったように、犯罪が組織的・確信犯的になってきている」と述べた。また、「ああいう事件が起きるということは、闇で名簿が流通して金に換えられるということを意味する」と語り、「普通の人は個人情報を手に入れてもそれを金に換える手段を持たないことから、おそらくは何らかの犯罪組織が介在している可能性が高いのではないか」「昔のハッカーはファイアウォールを破ることに喜びを感じていたが、今時は中から情報を持ち出すことの方を狙う」と、企業のセキュリティを狙う人間のタイプが変化してきているとの考えを示した。

 実際、大塚氏の知っている事例でも、とある人材派遣会社で採用したばかりの社員が残業・休日出勤も厭わないので周囲は熱心な人だと思っていたら、実はその社員は派遣社員の名簿目当てに入社した人間で、人目につかないように名簿をコピーして外部に持ち出すために残業や休日出勤を繰り返していただけだったという例があるとして、「人材流動化に伴い、今や社員のロイヤリティに期待ができなくなってきている」と語った。それ以外にも「紙の名簿は鍵のかかる棚に入れて保管しているのに、同じデータの入ったPCはまるで無防備なケースは少なくない」「以前(会社員時代に)会計事務所や弁護士事務所のセキュリティ監査を頼まれたことがあるが、どちらも事務所の入り口を入ったら中はまるでノーセキュリティだった」と、セキュリティ意識のバランスが取れていないケースが多々あることを訴えた。


 では、どうやってそれらの問題に対応するかだが、大塚氏は「電子認証サービスなどの公的なセキュリティサービスを積極的に利用していくべき」と述べたほか、「コンピュータフォレンジック」の観点からは「顧客名簿に一定の法則に従いダミーデータを紛れ込ませておくと、仮に情報流出が疑われたときにもそれが自社の情報であるかどうかが確認しやすくなるし、流出経路の特定もしやすい」といった手法もあることを紹介した。クライアント端末についても「高性能・多機能なクライアントに多くの情報システム担当者が手を焼いている現実がある」と語り、「シンクライアントにして余計なデバイスを全て取り払ってしまえば情報流出の可能性は大きく減る」として、そろそろシンクライアントの導入を真剣に考えるべきではないかと訴えた。

 このほか、サーバールームに監視カメラを付けるといった手法も「心理的な抑止効果という面では意外と有効だ」と述べ、「以前は『プライバシーの侵害だ』と組合から文句を言われることも多かったが、時代は変わってきた」として導入への抵抗が減ってきているとの認識を示した。さらにプリントアウトの際、プリンタに自分の社員証をかざすと初めて自分の文書のプリントが始まるといったシステムを導入すると「他人に間違ってプリントを持っていかれることによる情報流出を防げる」ほか、パスワードとICカードを組み合わせてサーバールームに入室した記録がないと正規のパスワードでもログインできないといったシステムを導入するのも有効だとして、これらのシステムの多くがICカードを必要とすることから、「ICカードの社員証を採用している会社はそれだけでセキュリティ意識が高い」とも語った。

 最後に大塚氏は「紙の最高機密はデジタルでも最高機密だが、最近はデジタル情報を守るために紙の扱いが乱雑になるケースも多い」と述べ、単に個別の事象に対応する形ではなく、情報全体を体系的に守るためのセキュリティの整備が必要だと訴えていた。


リスクマネジメントの観点からの個人情報保護の問題点

 続いて後半は、日本IBMでチーフ・プライバシー・オフィサー(CPO、個人情報取扱責任者)を務める荒木吉雄氏が「個人情報保護は今やセキュリティを超えた経営課題だ」として、個人情報保護法の完全施行を目前にして企業が取り組むべきリスクマネジメントについて語った。

 荒木氏はまず、リスクマネジメントには事前予防型の対策と事後対応の2つがあると述べた上で「事前予防型の対策の典型は保険ということになるが、個人情報漏洩では数十億円単位の損害が発生することが多い一方で、現在発売されている個人情報漏洩に対応する損害保険では支払の最高額はせいぜい3億円でしかない」と述べ、個人情報漏洩に保険で対応するのはほぼ無理であることを指摘。このため「個人情報保護法は『事前予防をしっかりやれ』という意味の法律だ」と述べ、企業にとって個人情報保護に対する体制整備は不可避であるとした。

 また最近では経費節減の目的から、システム開発のオフショア化や海外への業務のアウトソーシングが進んでいるが、個人情報保護という観点からは「特にアジアは中国を中心に、まだプライバシー関連の法制度の整備が行なわれていない国が多い」ため、契約等で相当厳しく管理しないとそこから情報が流出し、個人情報保護法で定めのある委託先の管理責任を問われるケースが考えられるとして、安易な海外へのアウトソーシングに警鐘を鳴らした。

 その後、講演は個人情報保護法の概略の解説に移ったが、その中では保有個人データの開示義務等について「日本IBMとしても、法律施行後は個人情報保護法に従い個人情報の開示を要求するという電話が何本来るか予想がつかない」と語り、同法に対応するためにどのような体制を組むべきかまだ手探りの部分が多いことをうかがわせた。

 プライバシーマークの取得やISMS認証などについては「現状では(個人情報漏洩に関する)事故はいつか必ず起きると言わざるを得ないため、そのときに世間がどうとらえるかを考慮する必要がある」と語った上で、プライバシーマークなどを取得しておけば一応社内体制の整備などやるべきことをきちんとやっていた証明になることから「損害賠償リスクはかなり軽減されるのではないか」と述べ、リスクマネジメントの観点からは有効性が高いとの認識を示した。

 最後に、日本IBMでは社内向けのプライバシーポリシーと社外向けのプライバシーステートメントという2本立てで規定を整備していることを示した上で、「個人情報の管理に対する質問を受けた際に、経営者はきちんとそれに答えられるか、もしくは少なくとも担当部署を把握してすぐに話を聞けるぐらいになっておく必要がある」と語り、経営者の個人情報保護に対する認識を高める必要性を訴えていた。


関連情報

URL
  情報セキュリティEXPO
  http://www.reedexpo.co.jp/i-security/


( 松林庵洋風 )
2004/07/08 12:24

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.