サイバー攻撃の悪質化が止まらない。一旦被害に遭ってしまうとその影響は甚大になりがちで、企業経営者は、その深刻さを理解し、適切にリスクアセスメントを実施しなければならない時代になっている。本シンポジウムでは、凶悪なサイバー攻撃に対抗する最新ソリューションが紹介された。

オリック東京法律事務所・外国法共同事業

国境を越えた情報漏えい対策─予防策としてのGDPR対策も含めて
~情報漏えいにおける、さらなる対策のご紹介~

万一の情報漏えい事件に備えた証拠の積み上げが重要

オリック東京法律事務所・外国法共同事業
グローバル・ジャパンプラクティス代表パートナー、弁護士(日本及び米国ニューヨーク州登録)、英国仲裁人協会上級仲裁人(FCIArb.)
髙取 芳宏

万一の情報漏えい事件に備えた証拠の積み上げが重要

冒頭にオリック東京法律事務所の髙取芳宏氏は、「情報漏えいは、技術の問題であると同時に社会の問題であり、さらに重要なものとして法律の問題であるということを申し上げておきたい」と指摘。実際に漏えいが発生すると法的に対処すべき問題が多く発生し、「企業や役員の法的責任をいかに最小化するかという観点から、あらかじめ日常的なコンプライアンスとしても法的な証拠を残しておく必要がある」と警告する。

情報漏えい対策を、1 予防段階、2 (漏えいの)発覚・戦略構築段階、3 (訴訟等の)紛争・調査遂行段階という3段階で考え、インシデントが起きた際の対応策を技術面だけでなく、誰がどう動くか、どういうコミュニケーションをするかなどを含めてシミュレーションしておくことが重要。いずれの段階でも、やるだけのことはやったという「証拠」がキーワードだ。

証拠のひとつとなる、経済産業省が出した「サイバーセキュリティ経営ガイドライン」に基づくポリシーを対外的に公表していない企業は、「法的拘束力はないが、経営者の忠実義務違反の基準・指針となる可能性もあるので、いますぐ作成すべき」と警告。さらに、グローバルに活動する企業は、EUや米国など海外の法規制にも目を配り、対策をとり、対策をとったという証拠を残す必要がある。さらに、情報漏えいが国境をまたがって起きた場合、その対応は非常に複雑になる。髙取氏は、「たとえば、EU圏で情報漏えいが起きた際に公権力に自発的に出した証拠が、後で米国で起きた集団訴訟での致命的な自白証拠として使われるといったこともあり得る」という。

GDPR対策はリスク分析を慎重に実施し、継続的に取り組む

2018年5月、「EU一般データ保護規則(General Data Protection Regulation:GDPR)」が発効する。多くの企業が関係ないと思っているが、必ずしもそうとは限らないとし、「違反企業には、最高でその企業の世界全体の売上高の4%または2000万ユーロのいずれか高い方という莫大な課徴金が課され得る。日本企業はこの種の制裁対象として狙われやすいので、該当するかどうか精査して対応すべき」という。同ファームは、GDPRのどのセクションに対してリスクが大きいかの初期分析の基ができる「EU一般データ保護規則審査ツール」を提供。その結果を元に、必要に応じてコンサルティングサービスを提供している。髙取氏は、「GDPR対策としては何が完璧か明確でない部分もあるため、完璧な対応は難しい。しかも、やるべきことが多すぎる。リスク分析をして、リスクが高いところから優先的に取り組み、継続的に証拠を揃えて継続的に備えることも考えるべき」と語る。

最後に髙取氏は、「サイバーセキュリティ対策は、ITやセキュリティ対策室に加えて、法務、知財、人事、広報、各事業部が参画し、それを経営陣が束ねて直接の責任を持って運用することが重要」と指摘。そしてその理由を「訴訟になったときの名宛人、すなわち経営ガイドラインやGDPR等の対策をすべき主体は経営者であり、誰かに任せていた、では通用しない。後ろ向きのリスク管理ではなく前向きの『投資』という認識を社内で徹底し、サイバーセキュリティ対策に取り組んでいただきたい」と語った。

GRCS

企業における情報漏えい対策の新たな一手

内部からの不正と外部からの攻撃の両方に対処可能

GRCS
取締役 兼 COO
榎本 司

サイバーセキュリティというと、外部からの侵入や、いかにマルウェアの感染を防ぐかに注力する企業が多い。もちろんそれも大切だが、内部のコントロールも疎かにはできない。また、守るべき機密データが、構造化データや非構造化データ、個人情報、クレジットカード情報など多様化し、保存箇所も端末からサーバー、各種クラウドまで分散化。さまざまなアプリケーションを活用するなど管理が難しくなっている。GRCS(旧NANAROQ)の榎本司氏は、「このような多様なデータをいかに守るかが、重要となってくる」と指摘する。

データを保護する方法として、GRCSが勧めるソリューションが、エージェント型データセキュリティ・ソリューション「デジタルガーディアン」だ。榎本氏はその特長について、「デジタルガーディアンは、内部からの不正なデータ送信を防ぐとともに、外部からマルウェアなどが侵入しようとした時に検知し対処可能。1つのエージェントで内部不正と外部からの攻撃に対応できる」と説明する。

コンテンツベースとコンテキストベースで情報を制御

その検出のしくみには2つある。まず1つが、コンテンツベース(キーワード検索)で、クレジットカード番号などキーワードで定義した文字列を検知して、ポリシーに従ってメール添付やクラウドへのアップロード、コピーなどを禁止する方法だ。これにより、データに重要データが含まれていることに気づかなかったり、忘れていても流出を防ぐことができる。

もう1つはコンテキストベース(オペレーション駆動型)で、たとえば機密情報フォルダからデータがコピーされたといった状況に合わせ、そのデータに自動でタグ付けして制御する。このタグは、コピー、名前を変えて保存、別ファイルやメール本文への貼りつけ、パスワード保護などを行なっても引き継がれる。榎本氏は、「いろいろな手法で、内部から情報を持ち出そうとしてもできない。さらに、操作ログの収集などのフォレンジック機能も装備しており、多段防御の1つとして活用してもらえば、機密データ保護の部分で効果を発揮する」と語る。

その活用例として、ランサムウェア対策を紹介。「重要データへのアクセス可能なアプリケーションを定義しておくことで、ランサムウェアを含むマルウェアがそのデータの窃取や破壊を防御可能」と榎本氏。また、デジタルガーディアンは、国内利用例も多く、海外では某グローバル企業が30万台のエンドポイントを同製品で一元管理しているという。

最後にCSIRTのインシデントにおけるチケット管理と情報共有が可能になるクラウドサービス「CSIRT MT」を紹介。「CSIRTの活動が見える化できるので、活動成果の報告が容易になる。さらに脆弱性情報の日次配信サービスも提供しているので、あわせて活用していただきたい」と語った。

お問い合わせ

株式会社GRCS

https://www.grcs.co.jp/

▲Page Top