日経デジタルコアからの提言 「情報セキュリティーは経営問題」 ∼企業・組織の情報セキュリティー対策のためのチェックリスト∼ 日経デジタルコア 情報セキュリティー研究会 1.高度情報社会の信頼性・安全性 情報システムは今や企業・組織だけでなく、一般社会における重要な基盤であると言えよう。それに 伴い、情報システムの安全性・信頼性を確保するための情報セキュリティー対策が大切になってきた。 情報システムだけでなく、どのようなシステムでも、100%完全なものを構築することは不可能である。 これは技術的な面からみれば、必ず時間経過とともに陳腐化が起こる。一方、システム運用や利用は 人間が行うものである。このため、運用者や利用者が決められた手順を遵守しなかったり、内部の運用 者・利用者が簡単に不正を行える状況が面前にあれば、「出来心」や、「好奇心」で不正を行う可能性 があり、人間の弱さが原因で問題が発生することもある。 このため、技術面だけでなく、人的面、すなわち、管理・運用面、制度面等も含めた包括的な情報セ キュリティーを考える必要がある。 最近の情報セキュリティーでは、単にコンピューターなどで処理されるものだけでなく、紙等に印刷さ れたものなども含めて対象としており、また、情報資産という場合には、情報とそれを処理するコンピュ ーターのハードウェア・ソフトウェア、人、関連施設を含めて考える。 情報セキュリティー、特にインターネットを利用したシステムの情報セキュリティーでは、社内だけでな く、外部からの不正等も発生しており、米国等の調査では内部より外部犯行の割合が大きくなっており、 外部犯行には国内外の競合企業等からの不正行為も増えている。 人的面を考える場合、ウイルス・ワーム等の有害プログラムでは、情報システムの管理・運営を行う者 だけでなく、情報システムの利用者一人一人が情報セキュリティー意識を持たないと被害を防止できな いことが多くなっている。これは情報セキュリティーの人的面の特徴でもあり、利用者全員に対して情報 セキュリティーの啓発を行うことが大切になってきた。 従来、国内では情報セキュリティーの重要性の認識はあまり高くなかった。これは、島国であり、企業 や組織でも終身雇用であるため、従業員が企業・組織への忠誠心が高いことから、特に大企業等では 不正を働く者はほとんどいないと言われてきた。 しかし、90年以降、バブル経済の崩壊とともに終身雇用制も崩れ、企業・組織ではリストラの嵐が吹 き荒れ、従業員の忠誠心も危うい状況になってきた。また、従業員の削減によって、組織における内部 統制機能が更に希薄になってきた。このような状況で目の前においしいものが置いてあった場合、どれ だけの人が常にそれを食べずに我慢できるだろうか。人間の弱さを、情報セキュリティーについても考 える必要があるのではないだろうか。 また、「情報セキュリティー対策は、従来のメインフレーム(汎用コンピューター)での情報処理や情報 資産の取り扱いの延長線上での対応で十分である」との認識から生じたと思われる事件・事故も多発し ている。 例えば、最近マスコミにも数多く報告されている個人情報漏洩事件は、内外部からの不正アクセスの 問題であると言うより、はるかに単純な設定ミスや無知によるシステム構築等、ずさんな管理体制に起 因するものが多い。米国の例では、ずさんな管理体制の個人情報漏洩事件に対して、多額の支払いを 余儀なくされている。また、国内の自治体では住民基本台帳データの漏洩に対する損害賠償請求で、 管理体制不備等により、最高裁で自治体敗訴の判決が下されている。今後、国内企業・組織でも、個 人情報の漏洩に対し、同様な判断が下されることは明らかで、情報セキュリティーが経営上の問題にな ることは明らかであろう。 ( 1 ) 企業の情報セキュリティーの確保に必要な要素は、省庁、自治体でも大きく変わるものではない。組 織のトップ自らが重要経営事項ととらえ、対策を行うことが欠かせない。 ( 2 ) 2.情報セキュリティー推進のための提案 企業や行政機関が情報セキュリティーを推進するためには、情報セキュリティーに対する組織内の 体制を確立し、それを継続して拡充していくことが必要である。これを実現するための取り組み方につ いて提言する。 1.情報セキュリティー管理体制の確立・維持 (1)ポリシーの策定 情報資産は、「人、物、金」と同等の経営資源であり、正社員だけでなく、組織で働く多くの人達が 取り扱うのも情報資産の特徴であると言える。このため、関係者全てに情報資産の重要性を認識さ せることが経営トップの責務であり、情報セキュリティーポリシーの策定を行い、情報資産を脅威から 守るための基本的な考え方等を明確にすることが大切になる。 (2)PDCA サイクルの実現 企業が継続的に発展していくためにも、企業内での体制を継続的に進化・発展させていく必要が ある。 情報セキュリティーポリシーを策定するだけにとどめず、 (a) 情報セキュリティー対策の具体的計画・方針を策定し、(Plan) (b) その計画に基づいて、対策を実施し、運用を行い、(Do) (c) 実施・運用状況に対して監査を行い、(Check) (d) 監査状況等をもとに経営層による見直し、改善を行う。(Act) という「PDCA サイクル」を実施することにより、情報セキュリティー体制の確立・拡充を図っていくこ とが大切になる。 (3)責任体制の確立 (a)情報システム/情報セキュリティー担当役員の任命 情報セキュリティーの先進国である米国の金融機関の一部では、既に情報システム、情報セキュリ ティーの専門性を持った者が最高経営責任者(CEO)に指名されているケースもあるが、日本でも情 報資産の重要性が高まっている状況を鑑みれば、取締役会へ参加する役員が情報システムあるい は、情報セキュリティー担当役員として任命されなければならない。取締役会での意思決定を直に 聞き、また、意見を述べることができることが大切である。 (b)担当役員主導の情報システム/情報セキュリティー組織の運営 PDCA サイクルを有効・効率的に運用するためにも、社長あるいは、担当役員を長とした運営体制 (委員会/プロジェクト)が組織されなければならない。 (c)加害者としての危険性の認識を持つこと 一般の事件・事故に巻き込まれても、被害者が加害者になることはまずない。しかし、情報セキュリ ( 3 ) ティー事件・事故の場合、被害者が加害者になることが珍しくない。例えば、個人情報が外部に漏洩 したり、コンピューターウイルスの被害を受け、取引先との間の重要情報が電子メールに添付されて 外部に送付されてしまうことがある。本来は被害者であるはずの企業・組織が、情報セキュリティーへ の対応が不十分であったために、加害者としての立場になることが多くなっている。別紙に例示した 事故・事件では、企業や自治体の情報管理の甘さが原因で加害者になってしまった実例である。 もはや、情報セキュリティー対策を実施しなかったことが、事件・事故の加害者になる危険があり、 その内容によっては、大きな損害を企業・組織にもたらす恐れがあることを認識すべきである。 (d)アウトソース(外部委託)業務管理規定の策定 アウトソースを行う場合、自社内での管理方法、委託方法、システム開発では、開発作業場所、デ ータ、開発用コンピューター等について取り決めや事故・事件発生時の責任区分等を契約書に盛り 込む等、アウトソース業務における管理規定を策定することが大切である。 2.情報セキュリティー技術の修得・蓄積 (1)情報セキュリティー技術・管理への対応 (a)ネットワーク、ウェブ(Web)の基礎的知識の蓄積 最近の情報漏洩事件の多くは、ウェブサイトを運営する際に必要となる最も初歩的な情報セキュリ ティーの知識さえも当事者企業は関知していなかったことが原因と見られている。担当者が業務遂 行に必要な知識を持ち、その知識が組織として継続して蓄積されていくことが、技術面での第一歩 であると言える。 (b)アウトソース先管理 業務をアウトソースする場合、委託先の情報セキュリティーの知識を含め、技術レベルを把握して おく必要がある。可能な限り、各アウトソース先の特徴を把握し、それらの情報を定期的に更新し、蓄 積しておくことが大切である。 (2)情報セキュリティー要員の育成・教育 (a)情報セキュリティー文化の周知・啓発 インターネットやイントラネットの普及や常時接続の増大に伴い、利用者一人一人に情報セキュリ ティーの重要性を周知する必要がでてきた。いわば、情報セキュリティーを企業・組織での一つの文 化として定着させる必要がある。例えば、OECD(経済協力開発機構)は、今年8月に情報セキュリテ ィーガイドラインの見直しを行い、情報セキュリティーの重要性を世間に幅広く認識させるために「a Culture of Security(セキュリティー文化)」の概念を導入し、ネットワーク社会の参加者は、すべて情 報セキュリティー確保の責任を有すると述べている。 この考えはヨーロッパをはじめとする各国政府 や、国際的な議論の場で幅広く理解され、支持されつつある。 (b)専門家の育成 メインフレームを導入している多くの企業では、基本ソフトウエアやミドルウエア等の導入やバグ修 正等を行う「システムプログラマー」がいる。システムプログラマーの知識が、ベンダーのシステム担 当者よりも豊富であることすら珍しくない。インターネット時代になり、オープンシステム、オープンネッ トワークでは、システムプログラマーに該当する人達が企業内部に非常に少なくなってしまった。情 報セキュリティーの重要性を考えると、システムプログラマーに該当する人達、情報セキュリティー・ス ペシャリストの育成が重要になってきた。ISP(インターネットサービスプロバイダー)、iDC(インター ネットデータセンター)では当然のこと、自社で独自にネットワークを運営している企業においても、こ れらの要員の育成が重要である。 (3)リスク管理体制の確立 (a)脆弱性情報の収集 情報セキュリティーポリシーの策定には、情報システムのリスク評価を検討する必要があるが、リス ク評価には脆弱性データが欠かせないものである。しかしながら、従来、国内では、システムは 100% 安全との考えに立ち、脆弱性の存在を前提としないことが多かったため、脆弱性データを収集する 体制の確立が立ち後れている。このため、リスク評価、特に詳細なリスク評価ができず、費用対効果 を明確に算出できないといった問題が発生している。 ( 4 ) 米国では早い時期から、また、韓国でも最近、脆弱性情報の収集を始めている。 システムの脆弱性データだけでなく、侵入事件について、侵入を許した原因、被害規模、侵入防 止策等の情報収集も必要になる。 第三者機関、大学・研究機関・NPOやベンダーでの収集も必要となるが、各企業、行政組織でも、 重要な事故・事件を未然に防ぐための費用や、事故・事件発生時の復旧費用を、日頃から算出し、 評価しておく必要がある。 (b)情報公開: 信頼性の確立 情報セキュリティーの問題があったことを公表すると、顧客の信頼を失うのではないかと危惧し情 報を隠しておくということがしばしばある。しかし、顧客は正しい情報が公開されることを求めている。 適切な情報が公開されなかったことが後に明らかになると、より大きく信頼を損ねることになる。特に 個人情報を扱う場合には、個人の信頼感、安心感に大きな影響を及ぼす。このため、重要な個人情 報を扱う企業等の場合は、1つ対応を間違えると経営問題に発展する可能性は十分にある。 最近の住民基本台帳システムの例を見ても、政府・自治体が安全であると宣言しても、多くの国民 が納得しないのはその一例であろう。確かに、反対者の意見の中には、荒唐無稽な意見もあるが、 情報公開が行われていないため、誤解や不安を助長し、不安感、不信感をもたらしているのが原因 であるとも言える。 政府・自治体や重要インフラ業種、個人の重要情報を扱う病院等では、基本的な情報システムの セキュリティに関する情報公開によってこそ冷静な議論が可能になり、多くの不安や誤解を解くこと ができる。 3.その他 (1)自主基準・法制度について (a)自主基準・業界ガイドラインの作成 情報セキュリティーをとりまく激しい環境の変化においては、法律・政省令だけでなく、企業あるい は、業界として自主基準、ガイドラインの策定を考慮する必要がある。 OECD(経済協力開発機構)の情報セキュリティーガイドラインでも、インターネット利用者は情報 セキュリティー確保のための責任を有することを述べている。 一部の先進企業では、自社のウェブ上にセキュリティーポリシーやプライバシーポリシーとして、個 人情報等の取り扱いに関する自主基準を設けている。自主基準・ガイドラインの作成により、利用者 の信頼を得ることも重要だ。 (b)法律・政省令の見直し 国内における法律・省令等では、現在の情報資産の保護に対する対応が不十分であると言われ ている。無体物である情報資産に対する対策をどのように行うかといった問題や、海外の刑罰に比 較し、企業犯罪の刑が軽いため何ら抑止効果がないという問題もあるとの指摘もある。 拙速な法律・政省令の改正が望ましいとは思えないが、ネットワーク利用者の情報セキュリティー への取り組みを促進し、自主基準が実効性のあるものにしていくための広範な議論が必要である。 ( 5 ) 別 紙 【情報セキュリティーについて】 情報セキュリティーとは、様々な脅威に対して情報資産を機密性、完全性、可用性の観点から正常に 維持することであると言われており、機密性・完全性・可用性の英語の頭文字をとって、これを情報セキ ュリティーのCIA と呼ぶことがある。 ここで、機密性(Confidentiality)とは、その情報にアクセスする権限を持ったものだけがアクセスできる ようにすることを言う。完全性(Integrity)とは、情報そのものやその処理方法が正確であり、完全である ことを言う。可用性(Availability)とは、許可された利用者が、必要な時に情報資産に確実にアクセスで きる状態にしておくことを言う。 具体的事例として、「機密性」は、銀行の ATM(現金自動受払機)で現金を引き出す場合、キャッシュ カードを持っており、その暗証番号を知っている人だけが指定された口座から現金を引き出すことがで きることである。「完全性」は、1万円を引き出したい場合、常に1万円が ATM から出てくるようになって いることで、現金が出てこなかったり、2万円出てはならない。「可用性」は ATM が稼働している時間帯 であれば常に現金の預け入れ・引き出しができるようになっていなければならないということである。 【情報セキュリティーに関する主な事故・事件等】 1.顧客情報漏洩によるもの (1) 2000年7月に食品会社が行ったプレゼント付きアンケートの応募者、約5万人のデータが無防 備な状況でウェブに置かれていたため、応募者の電子メール、名前、住所等が外部に漏洩し た。 (2) 2000年5月にエステティック業界大手への資料請求者やアンケート回答者の住所、氏名、年 齢、電話番号、電子メール等の情報が無防備な状態でウェブに置かれていたため、外部に漏 洩した。 (3) ハイテク関連雑誌等を出版している米国企業のサイトのセキュリティー対応が非常に悪かった ため、約12,500 人の応募者の住所、氏名、メールアドレスと一部の応募者のクレジットカード番 号が公開されてしまった。 このため、クレジットカード番号が公開された約 50 名に対して一人5 00ドル(約6万円)を支払い、ニューヨーク州等三州に対して、調査や消費者教育のために、10 万ドル(約 1200 万円)を支払い和解した。 (4) 1998 年、京都府下の自治体で約22万人の住民基本台帳データが委託先から漏洩し、住民3 名が自治体に対して損害賠償を請求し、市は一人当たり 15,000 円の支払いを命ぜられた。 (5) 1994 年 12 月、東京都の特別区の健康診断データ9万件が流出し、名簿業者に販売されていた。 データには、住所、氏名、電話番号、生年月日等の他、身長、体重、尿、血圧等の検診データ が記録されており、「がん」、「高血圧」等の既往症のデータも含まれていた。 2.金融機関における事件 (1) 2000 年 5 月、国内にある米国大手銀行の複数の顧客口座から 360 万円余りを勝手に自分の口 座に振り込んだ同行の元派遣社員が逮捕された。この犯罪では元派遣社員の犯行であったが、 同行のインターネットバンキングシステムでは、部外者でも簡単に類推できる可能性が指摘され ている。 (2) 1994 年 12 月、都市銀行のシステム関係の行員と暴力団組長らが共謀して、顧客のパソコンを 利用して銀行のコンピューターにアクセスし、顧客口座から合計 16 億円余りを不正に他行の口 座に送金し、1 億 4000 万円を引出した。 (3) 1995 年、ロシアのハッカーが米国大手銀行のパソコンバンキングシステムから、海外の銀行口 座に送金を繰り返し、1000 万ドル(約 12 億円)盗み出した。 (4) 1981 年 10 月、東京の相互銀行の支店に「K社の者だが機械のテストをするからS支店の口座 へ 3500 万円の入金操作をしてほしい」と指示し、預金係主任が本店からの指示と信じて操作を 行った。共犯の女性が事前に開設してあった口座に入金がされた時間頃にS支店で 3000 万円 を引き出し、騙し取った。 (5) 1985 年、同様な事件が郵便局でも発生しており、郵便局の窓口の係員に「すぐにお金を持って くるので、この通帳の預金口座に入金しておいて欲しい」と頼み、入金手続きを行なわせ、他の ( 6 ) 郵便局の ATM 端末から現金 1100 万円余りを引き出した。 3.ネットワーク、ウェブサイトへの攻撃 (1) 最近大きな被害が報告されているウイルスやワーム等の有害プログラム(Klex、Badtrans、Nimda、 Sircam、CodeRed 等)では、導入されているソフトウエアの「既知のセキュリティーホール」を利用 して感染を広げている。全てのセキュリティーホールに迅速に対応することは困難であるといえ るが、セキュリティーホールへの対応策が公表されてから、最短でも1ヶ月程後に有害プログラ ムが発見されている。重大な被害をもたらす恐れのあるセキュリティーホールへの対応が有害プ ログラムが発生する前に行われていれば、被害を最小限に食い止めることも可能であった。 (2) 2000 年2月に発生した米国商用サイトへの DoS 攻撃(サービス拒否攻撃)により、いくつかの商 用サイトが 30 分から3時間程度の業務停止に追い込まれ、被害を受けた商用サイトの一つは 3 時間に渡って業務が停止し、数百万ドル(4∼5億円程度)の被害を被った。 (3) 1988 年 11 月に発生したインターネットワーム事件では、インターネットサーバーのプログラムの 脆弱性を利用して感染が広がり、インターネットに接続されていた約 6,000 台、全体の約 10%の サーバーが機能しなくなり、インターネット全体が機能不全に陥った。 (以上) ( 7 )
© Copyright 2024 Paperzz