「情報セキュリティマネジメント試験」(セスペ)でよく取り上げられる「組織における内部不正防止ガイドライン」(https://www.ipa.go.jp/security/fy24/reports/insider/) の技術・運用管理の観点に含まれる内部不正対策(12)から(16)までの5項目を見ていきます。
(12)ネットワーク利用のための安全管理
【概要】
- ファイル共有ソフト及びSNS、外部のオンラインストレージ等の使用を制限する。
【想定されるリスク】
- PC内の重要情報が外部に意図せずに漏えいする。
- SNS及び外部のオンラインストレージの利用並びに掲示版の書き込みが許可されていると、重要情報がアップロードされたり、書き込まれたりして漏えいする。
【補足】
具体的な対策は、以下です。
- 許可されたソフトウェア以外をインストールすることを禁止する
(※利用者からは嫌がられますが、Active Directoryのグループポリシーなどで、システム的に制限します) - URLフィルタリングで、それらのSNSや掲示板へのアクセスを禁止する
過去問(平成28年春セマネ午前問7)を見てみましょう。
解答選択肢を、順番に解説します。
ア:
これが正解です。情報漏えいを防ぐために必要な対策です。
イ:
メールには、お客様情報などの機密情報が含まれます。個人のメールアドレスに転送すれば、そこから情報が漏えいするリスクが高まります。
ウ:
ファイル共有ソフトを利用すべきではありません。加えて、ウイルス対策ソフトの機能を無効にすることも適切ではありません。
エ:
使用を許可していないソフトウェアは、業務に必要がないだけでなく、情報漏えいにつながりやすかったり、ウイルスなどを含んでいたりする恐れがあります。従業員の判断でインストールさせてはいけません。
【正解】 ア
(13)重要情報の受渡し保護
【概要】
- 委託先等の関係者への重要情報の受渡しでは、受渡しから廃棄までを適切に管理する。
- インターネットを用いた重要情報の受渡しでは、暗号化等で重要情報を保護する。
【想定されるリスク】
- 重要情報を必要時以外に持ち出しできないようにしないと、内部者が不正に重要情報を持ち出してしまう。
【補足】
委託先だけでなく、再委託先にもルールを順守させることが必要です。再委託先で問題が発生したとき、委託先だけに責任を押し付けることはできません。