監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
執筆:吉田裕美(ジェイエムシーCRS本部販売グループ サブマネージャー)
今回は、「セキュリティ事件・事故の報告」について解説します。
今年に入ってから、毎日のように「情報漏えいに関する事故」のニュースが新聞などを賑わせています。これらの事故は何故起こってしまうのでしょうか。
過去の情報セキュリティ事故を振り返り、その要因を分析すると、許可されていない第三者が意図的に起こした事件はごくわずかであり、ほとんどの事件や事故は、内部の人間(組織内で働く人・職員および委託先)が関与しています。内部の人間が起こした事件・事故は、「故意に起こしたもの」と「意図しないもの」に分けられますが、後者が多いのも特徴です。
「故意に起こした事故」を減らすためには、事件・事故を想定した対策が必要になりますし、「意図しない事故」を減らすには、個人個人の意識の向上が必要です。
そうは言っても、きりが無いのがセキュリティ対策の特徴です。自らの組織の事件・事故および誤動作による報告から学習し、その対策について見直しをかけてゆくことは、大変有効で、現実的です。
■情報セキュリティ対策の3つの特性
情報セキュリティ対策に関しては、3つの特性があります。
(1)対策に永続性はない
ITの急速な発展により、導入時に講じたセキュリティ対策は、将来にわたり最高のものとして永続はしません。また各メーカーやベンダーもその永続性については保証してくれません。「脅威も脆弱性も変化するもの」という認識を感覚として身につけなければなりません。
(2)予防だけでは不十分
セキュリティ対策は大きく分けると、予防と回復に分類されます。いまだに、セキュリティ対策というと予防のみイメージが強く、極端に利便性をそこねるような厳しい予防策を講じた結果、ルールを守らない人を逆に増やしてしまったり、予防のみで安心してしまうというケースがあります。
対策の考え方は「a.いかに破られないかの予防」だけでなく、「b.破られたらどうするかの危機管理」「c.同一の事故を発生させないための原因の特定と再発防止策の実施」が必要です。
(3)ヒューマンエラーがほとんど
セキュリティ事故に関する原因のほとんどは、ヒューマンエラーです。一見、技術的な事故に見えるものの、設定ミスや設定の見直しをしていないために起こっているものがほとんどであり、また、機密情報の裏紙の使用、顧客データの入った鞄の紛失、メールやファクスの誤送信による情報漏えい、ノートパソコンの置き忘れなど、「うっかりやってしまった!!」というものが後を絶ちません。高価なセキュリティ・システムを導入したとしても、「利用するのも人」「設定するのも人」「管理するのも人」ということを忘れてはいけません。
■セキュリティ事故が起こってしまったら
以上の3つの特性を踏まえた上で、セキュリティ事故の報告とそれをどのように次の対策に活かしてゆけばよいか述べたいと思います。「情報セキュリティ管理基準」(経済産業省)には次のような項目があります。
|
事故が起こったとき、報告を速やかに行いたいとしても、その連絡経路が確保されていなければ、どうしてよいかわからなくなってしまいます。これだけ頻繁に情報セキュリティに関する事故が起こっている中、組織のトップが、自らの組織の事故状態を知らないというのは、大問題です。 現状がわからなければ、当然、しかるべき対策を講じることはできません。
1.事故報告の窓口を作る
窓口は、事故の重みによって複数作る必要があります。重要度と緊急度によって、臨機応変に対応できる組織を作っておかなくてはなりません。
例えば、ウィルス発見または感染の疑いであれば、情報システムの管理者を窓口にするというのは適当ですが、組織内の人間の不正行為を発見してしまったときはどうすればよいでしょう。ほとんどの組織では、情報システムの管理者が対応できる問題ではないと思われます。組織において重大と思われる事故や、または新聞などで報道されそうな事故が組織内で起こったと仮定して、その場合の窓口を作っておくことが必要です。「誰に報告すればよいか分からなかった」ということがないようにしましょう。
2.報告手順を確立にする
合理的な報告手順の確立も重要です。報告書を提出することが目的ではありません。速やかに対処できることを目的とし、望ましい手段を決めておく必要があります。警察は110番、消防署は119番と子供の頃に覚えたように、遭遇した事故によって、どこに、どのような手段を用いて報告・連絡・相談すればよいかを明確にしておけば、現場も迷わずに対処できます。
また、「なかったこと」にならないように、たとえ報告した人が原因を作っていたとしても、「報告時に責めない」「報告したことによってその後の職場での人間関係が上手くいかなくなる危険性がある場合は情報提供者の立場を守る」など、事実を的確に収集できるような環境作りも忘れてはなりません。
3.報告後、直ちに取るべき処置を行う
重要度・緊急度にあわせ、「取るべき処置」を行わなければなりません。組織の危機管理において、想定できる事故は事前にその対応策を作っておき、それに従います。事故の事実を組織全体に開示し注意を呼びかける性質なのか否かも、事故の種類ごとに事前に決めておく必要があります。また、予測不可能な事故が起こった場合にどのように対応するのか、その報告経路、責任と権限を明確にしておくことも、事故を最小限にとどめる有効な手段です。
4.適切なフィードバックの手続きの構築
再発防止のため、組織内の事故の開示・対策のための見直しを怠ってはいけません。この事故報告の結果は、次対策を行う上での重要なインプットとなります。(コラム第6回「情報セキュリティ運営委員会の設置」参照)
セキュリティポリシー上、事故報告のルールはあるものの、フィードバックの手続きの構築ができていないため、それを有効に活用していない組織が、筆者の知るところまだまだたくさんあります。情報セキュリティ対策レベルを上げるために、これほど有効データは他にないのに、実に惜しいことをしています。
大きな事故は、いくつかの要因が重なっておきており、小さな事故または、未遂が起こったときに、組織として対応していれば、未然に防げたものが過去の事故事例をみてもほとんどではないかと筆者は考えます。今年は申年ですが、「見ざる」「言わざる」「聞かざる」は、情報セキュリティ対策上では、美徳とは言えないのです。
|
|
