警備資料

アクセスカウンタ

zoom RSS CSIRTの設置よりも、やるべきことがありませんか?

<<   作成日時 : 2017/03/10 23:12   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

筆者は金融機関や上場企業、IT企業などに対して、情報セキュリティを主体にしたコンサルティングを主な生業としている(最近ではデジタル遺品関連の作業依頼も多いのだが)。幸いなことに、今までのクライアントからは評価されているようで、「紹介」の形で依頼をいただくことが多い。そのためピンポイントで「サイバー攻撃を受けた」「怪しいメールを職員が開いてしまった」「どうやら内部犯罪が発生したようだ」というような具体的なインシデント発生後の作業依頼が多い。以前は、「我が社の情報セキュリティを3年計画で向上させたい」といった全方位の依頼が8割を占めていたのだが、今ではそういった業務は5割を切っているという状態である。

【紙の書類が山積みに】

 個人で依頼を受けているので、作業単価が他の会社に比べ各段に安く、「良かろう、安かろう」という評判が浸透しているのが現実と思うと若干悲しいのであるが……。

 こうした中、最近よく依頼を受ける仕事の内容をキーワードで並べると以下のようになる。


1. サイバーセキュリティ(警察に通報したレベル〜怪しいメール騒動まで様々)
2. CSIRT
3. FinTech
4. ランサムウェア
5. 内部犯罪

 会社の規模は、上場企業から中小企業まで幅広い。

 この中で(程度はさまざまだが)すぐにでも対応する必要があるのは1、4、5で、実際に待ったなしのピンポイント対応が圧倒的に多い。一方、経済効果100兆円以上と言われ、IT企業や金融機関の多くが少なからず利活用を検討している3は、その「緊迫感」が他に比べて低い。では、2のCSIRTはどうかというと、監督官庁からの指摘を受けたのかどうかは不明であるが、2016年から「緊迫感」が急激に高まっている。

 そこで実際に依頼をいただいた企業に出向き、担当役員などと具体的な要望について話を聞いているのだが、どうにも釈然としない点がある。そもそも「CSIRTよりもっと基本的な部分を確実に対応し方がよいのではないか?」と疑いたくなるクライアント企業が3割程度もあるからである。2016年の秋以降に紹介された企業でいうと半数近くに上る。

 こうした企業にCSIRT設置を説くのは、甚だ失礼な言い方をすると、「小学生に微分積分を教える」ようなもので、基本ができていないのに、形だけ公式を覚えて運用しても、すぐに頓挫してしまうリスクが高い。そこで筆者は、こういう企業には別の提案をしている。

 具体的な企業名は書けないが、2016年に実際に遭遇した事案をここで紹介する。以下に挙げるのは、承認をいただき、事前調査として数日間ヒアリングと観察を行った結果である。CSIRTの設置を検討する前に、以下のことができているかを、まずは確認していただきたい。

1.離席する際、机上には計数情報、顧客情報を含む「紙」や名刺が置きっぱなし

 たとえ1分で済む用事で席を離れる時でも、最低でも書類は裏返しにし、ペーパーウェイト等で飛ばない様にしておく。ノートPCの画面なら、ディスプレイを閉じる、スクリーンセーバーロックをかけるなどの基本的なルールが定められ、順守されていること。

2.FAX送信時に宛て先を確認していない

 FAXの宛て先を間違えると情報流出になる。送信手順が明確になっており、きちんと運用されていなくてはならない。企業によっては、上司の確認と承認が必要で、しかも送信の事実や宛て先についてログを残している。そのログの検査も定期的に行われていること。

3.入社時などに提出してもらう、情報セキュリティについての誓約書が整備されていない

 新卒や中途で入社する人に対して、納得してもらう形の誓約書などが親会社、子会社ともにそろっており、厳重に運用管理することが望ましい。これは退職者向けの誓約書にも同様の事が言える。特に退職後に不正などが発覚した場合には、退職金の振込み(通常は退職月の1〜2カ月後に振込む)を停止にできるなどの記載をしておく必要がある。退職後は、法的にはすでに従業員ではないので、そうしないと「盗人に追い銭」になりかねない。在職時に知り得た内部情報を外部に公開する権利についても取り決めておく必要があるなど、注意点は多い。

4.退職者のIDやアカウントなどが1週間経ってもそのまま使用できる

 遅くとも退職予定日の翌日午前中には使用できないようにするのが望ましい。

5.CDやDVD、Blu-ray Disk、iPhone、タブレットなど入出力機器が自由に使える

 社内全域にするか、サーバルームなど場所ごとに設定するかは企業に寄るのだが、少なくともUSB接続型機器の使用を制限することは、いまや当たり前である。就業規則などのルールで定めているだけでは、何もしていないのと同じ。システム的にきちんとガードしていることが望ましい。重要エリアの場合、入口でスマホやデジカメなどを収納ボックスに強制的に入れてから、もしくは警備員のチェックを受けてからでないと通過できないのが通常なのだが、ノーチェックの企業もまだ多い。業種、業態により運用の形態は変わってくるだろうが、セキュリティの観点で第三者の評価を受けておくことをお勧めする。

6.ごみ箱の中に配布済資料やA4コピー用紙などが捨ててある

 情報セキュリティ意識の高い企業では、シュレッダー以外のコピー用紙の廃棄を認めていない。しかもトラッシング(ごみ箱検査)を不定期に行ってチェックをしている。規則だけ決めて検査をしないのではほとんど意味がないからである。たとえコピーに失敗した紙でもダメ。人間が判断するというアクションは避けるべきである(なぜなら人間はミスをするからである)。よって、何も書いていないA4用紙でもアウト。絶対にシュレッダーにする。JNSAの調査でも「紙」で情報が漏洩したケースが最も多い。ここの管理がしっかりしているかで、企業の本質が判る。例え過去30年紙漏洩はないといってもダメ。たまたま表面化する漏洩がなかっただけだからである。

 以上で挙げたものの中には、業種や業態によっては極めて困難なケースもあるし、企業カルチャーの違いもあるので、すべての企業で同様の対応をしなくてはいけないというわけではない。ただし、1つでもこの中の事案に当てはまるものがあるなら、そこから情報漏洩対策を検討するべきだろう。現実と机上の理想論とのギャップを知り、その差を少しでも少なくするという「努力」があれば良い場合が多いのもまた事実なのである。

 皆さんの会社の情報セキュリティはいかがだろうか? CSIRTはとても重要な組織だが、設置すればいいというものでもない。そこに至る前の基本はできているのか、という点はしっかり検証する必要があるのではないだろうか。

●著者:萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
CSIRTの設置よりも、やるべきことがありませんか? 警備資料/BIGLOBEウェブリブログ
文字サイズ:       閉じる