今週のSecurity Check [一般編] (第159回)

 個人情報保護法対応やセキュリティ・マネジメント・システムの構築のためには,まずは現状のリスクを把握すること,つまり,リスク分析が重要である。だが,リスク分析の重要性を認識していても,リスクを見落とすケースが少なくない。筆者の経験によれば,見落とされるリスクの多くは,通常の業務からは見えにくい“不要なリスク”である。今回の記事では,この“不要なリスク”について考えてみたい。

業務担当者による洗い出しが“裏目”に

 一般的にリスク分析は,(1)情報資産の洗い出し,(2)情報資産ごとの脅威の特定,(3)脅威に対する脆弱性の確認---というステップを踏むことが推奨されている。特に,(2)の脅威の特定までのステップは,慎重に実施する必要がある。ここで見落としがあると,認識できないリスクを残してしまうことになるからだ。

 企業では多数の業務がおこなわれている。それぞれの業務において,扱っている情報資産がどのような脅威にさらされているのかを知るためには,業務フローの確認が不可欠である。ここでの確認に不備があると,見落としたリスクが後で牙をむくことになる。

 実際のケースでは,業務フローの確認や業務フローに潜むリスクの洗い出しの作業は,「業務については,それぞれの担当者が一番分かっている」との理由で,現場担当者に任されることが多い。業務を直接担当しているメンバーだけで検討を実施し,リスクの特定をおこなう。

 業務を理解しているメンバーが検討すれば確かなものと考えがちだが,この考え方には落とし穴がある。というのも,担当者が特定するのは“必要なリスク”であって,“不要なリスク”については見落とす可能性が少なくないからだ。ここで“必要なリスク”とは,通常の業務を遂行する上で避けられないリスクを指す。一方“不要なリスク”とは,業務上おこなう必要がない,あるいはおこなってはいけないとされている作業を実施したことで発生するリスクである。

 業務フローを熟知している人にとって,脅威の特定は一見簡単なことのように思える。「業務を正常にこなすには何をしなければならないか」を理解しているので,リスクが発生しうる重要なポイントを押えている。半面,「やらなくてもよい」あるいは「やるはずがない」作業で発生するリスクについては見落とす可能性が高い。業務フローに熟知した人自身がそのような作業をおこなうことは,ほとんどありえないからだ。

 この“不要なリスク”というものは,正常な業務フローを調べるだけでは見つけられない。あらゆる可能性を考えて,一生懸命に探さないと洗い出せない。そのためには,その業務の担当者だけではなく,部門外の者あるいは第三者を交えて業務フローを確認していくことが求められる。

“とりあえず”の保管や管理者の認識不足が要因

 では,“不要なリスク”は,なぜ発生するのだろうか。さまざまな要因が考えられるが,情報漏えいに焦点を当てると,例えば以下のようなものが挙げられる。

  • 顧客の要望への対応
  • コスト削減を目的とした業務改善
  • 廃棄できない情報の蓄積
  • 管理者による従業員のITスキルの軽視
  • 委託業者に任せきりとなった情報設備

 情報漏えいは人的な問題であることが多い。このため,やるべきこと/やってはいけないことについて,従業員への周知徹底が十分ではないことがリスクの要因として挙げられる。周知不足に起因するユーザー個人のミスなどについては前回の記事で述べたので,今回は組織としての問題について考えてみる。

 組織内部には何のために保有しているのか分からない情報というものが数多く存在している。個人情報保護法対応などの際に,組織の情報の“棚卸し”を経験されたことのある方なら分かってもらえるだろう。文書データであれば物理的なスペースを必要とするために保管費用がかかるのでチェックの対象となるが,電子データについては,ハード・ディスクといったストレージの費用が大幅に安くなっているために,保管している情報量の増大に問題意識を持つことが無い。

 このため,必要/不要にかかわらず“とりあえず”保管し続けられることになる。特に,担当者の異動によって後任に引き継がれた情報は,まず廃棄されないものと考えてよいだろう。“とりあえず”保管されている情報は,情報漏えいのリスクをもたらすだけである。すぐにでも廃棄する,あるいは適切な管理下に置くといった対処を施したい。

 次によく見られるのが,従業員のITスキルの軽視である。筆者は組織の管理者などから,「うちのスタッフは機械に弱いから,教えたこと以外はやらないはず/できないはず」という声を時々耳にする。しかし,いまやパソコンは「一家に一台」といえるほど普及しており,業務ではパソコンをそれほど利用していなくても,スキルの高い人は多い。会社で利用しているパソコンを自分好みに設定変更している人がいても不思議ではない。自宅での利用環境に近づけるために,使い慣れたフリーソフトを勝手にインストールするケースも多いようだ。社内教育などを通して,パソコンをビジネスで利用することと個人ユースは異なることを,すべての従業員にきちんと理解させる必要がある。

 もう一点が,委託業者へ任せきりとなっている情報設備の存在である。機器そのものが分からないから任せきりにしているという話はよく聞くが,よく分からないものがLANに接続されているとしたらこんなに怖いことはない。組織のセキュリティ・ポリシーに沿っていなければ,その機器はセキュリティ・ホールとなる。例えば,自分たちの全く関知しないところでWebサーバーが稼働していたり,アクセス・ポイントが着信を待っていたりする恐れがある。機器の設置に際しては,セキュリティ・ポリシーに反していないことを委託業者に確認しておく必要がある。

 以上,“不要なリスク”についてまとめてみた。“不要なリスク”を保持し続けることほどばかばかしいことはない。的確なリスク分析を実施して,“不要なリスク”を排除したい。


東山 栄一 (HIGASHIYAMA Eiichi) higashiyamaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 営業本部・コンサルティンググループ


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。