日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

マネジメント層が考えるべき情報漏えい対策

事例から学ぶ情報セキュリティ経営 日本セキュリティ監査協会 事務局長 永宮 直史氏

事故を重大化させないための情報セキュリティ経営

 「最近の大規模セキュリティ事案をきっかけに、経営としての情報セキュリティマネジメントが注目されるようになっている」

 日本年金機構不正アクセス事案検証委員会(2015年)に参与として加わった、日本セキュリティ監査協会の永宮直史氏は、基調講演でこう強調する。情報セキュリティに関わる事件・事故が発生すると、数百億円規模の費用がかかることもあり、社会的信用の失墜による顧客離れや人材離れも避けられず、経営的にも大きなダメージを受けることになるからだ。

経営者に情報を上げる仕組み、いざという時の指揮官

日本セキュリティ監査協会 事務局長 永宮 直史氏
日本セキュリティ監査協会 事務局長
公認情報セキュリティ主席監査人
永宮 直史氏

 “情報セキュリティ経営”では、「事故が重大化しないようにすること」と「事故が会社の存続に影響を与えないようにすること」の2つが目標になる。「小さな出来事の段階でしっかりと検知し、確実に処理できる体制を作っておくこと。また経営者には、万一重大事故が起きてしまった時にきっちりと説明責任を果たすことが求められている」と述べる。

 ところが、日本年金機構で発生した不正アクセス事案では組織的対応、系統的対応、迅速・的確な対応のいずれもできていなかった、というのが永宮氏の分析だ。「経営的な視点では、やるべきことをやっていなかった」と指摘する。

 注目すべきポイントの第一は、経営者に情報を上げる仕組みがなかったこと。緊急時の報告態勢を整備しておかないと、あやふやな情報が飛び交うか、詳しいことが分かるまで報告しないか、のどちらかになってしまうという。

 第二のポイントとして、いざという時の指揮官を決めておかないと事件・事故の全体像が分からなくなってしまう。その結果、的確な判断ができず、説明責任を果たすのも難しくなってしまうというわけだ。

情報セキュリティ対策の有効性を日頃から確認しておく

 では、“情報セキュリティ経営”を実践するには、何が必要か。

 「まず、対策の前提として、リスク分析を実施し、得られたリスク評価を組織全体で共有する必要がある」と永宮氏は言う。そのリスク評価を基に、多層防御、攻撃検知、暗号化などの技術的対策を講じるのがよい、と勧める。

 また、指揮官を中心とした事故対応体制を確立することも“情報セキュリティ経営”にとって重要だ。ポイントは、「この人の判断なら仕方ない」と全社が認める人を指揮官に選ぶこと。最悪の場合、その人が稼働中のシステムを停止する決断をしなければならないからだ。

 永宮氏は、「営業のことも本社のことも分かり、ITが理解できる柔軟性を持ち、社長が『こいつと心中してもいい』と思えるような人物が最適である」と述べる。

 さらに、事故が起きてしまった場合を想定して「説明責任を果たせる準備」をしておく必要もある。永宮氏は、自らの情報セキュリティ対策の有効性を常日頃から確認し、「潔白なのにそれを証明できない場合もあるため、最善を尽くして管理していたことを納得してもうことが重要だ」と述べる。



企業の“セキュリティリスクマネジメント”と“ガバナンス”実現ポイント 日本能率協会コンサルティング チープ・コンサルタント 田中 良憲氏

教育とルールの徹底で管理職の意識向上を図る

 一般社団法人JPCERTコーディネーションセンターの調査報告からも明らかなように、標的型攻撃をはじめとするサイバー攻撃件数は高止まりが続いている。

 「昨年発生した某特殊法人における個人情報漏洩事件には、学ぶべきポイントが多数あった」

 こう前置きして、日本能率協会コンサルティングの田中良憲氏は、従業員教育を含むセキュリティリスクマネジメントのめざす姿を論じた。

サイバー攻撃対応以前に、基本ルールが守られていない

日本能率協会コンサルティング チーフ・コンサルタント 田中 良憲氏
日本能率協会コンサルティング
ビジネスプロセスデザインセンター
チーフ・コンサルタント
田中 良憲氏

 サイバー攻撃対応以前に、業務ルール逸脱が著しかった。「個人情報データの外部持ち出し原則禁止」「持ち出す必要がある場合は許可をとり、パスワードをかける」といった基本ルールが守られていなかった。システム対応とは別次元で問題だったという。

 また、リスクマネジメントの観点からは、「旧来の情報セキュリティの常識・ルールに加え、新たなリスク発見と対応ルールをどう検討するか」「業務ルールを徹底させるにはどのような従業員教育を実施すればよいのか」「重大インシデント発生時の指示系統・体制はどう確保するか」も重要な課題になる、と田中氏は述べる。

 リスクを想定した対策は多くの企業で実施されるようになったが、サイバー攻撃の手口がますます高度化していることを考えると、新しいルールや体制を常に考えていく必要があると指摘。一方で「会社宛の電子メールを個人のメールアドレスに転送しない」など、ルール以前の“本来の定石施策”がきちんと実行されているかを自己チェックしておかないと次のステップには進めないと注意を促す。

リスクマネジメントサイクルとそれを回すための体制づくり

 そこで田中氏が勧めるのが、一般的なリスクマネジメントの仕組みの中での新しいセキュリティリスクの追加検討だ。つまり、従来のリスクマネジメントサイクル「方針・計画→リスク発見・評価→対策検討・投資→リスク再評価」活動状態の見極めと、この従来活動に新しいリスク検討を組み込むのだ。決して目新しい活動ではない。

 このサイクルを回す出発点が、リスクの発見とアセスメント(評価)。「ポイントは、新しいサイバースペースのリスクを再認識し、その発生確率と影響度をあらためて評価・分類すること」。業務にかかわる領域については、情報システム部門ではなく、ユーザー自らがリスクを想起・発見して評価しなければならない。

 さらに、「管理職の知識・意識レベルでその職場のリスク意識は決まる」ため、管理職や中堅社員への正しい知識と業務ルールの教育が欠かせないと指摘する。そのためにも「リスクごとの発生確率と影響度を職場単位で自ら評価する機会を作るとよい」という。

 そうした教育の重点項目として田中氏が挙げたのは、「サイバー攻撃の実態の周知」「新しい行動基準を植え付ける具体的な訓練」「データ流出や防止ルールの想起促進」の3つ。「いずれも日常業務に追われると忘れられてしまいがちなものばかり。何度も言い、何度も想起させることが重要だ」と田中氏は訴える。