@IT 情報漏えい対策セミナーレポート
情報漏えい対策を通じて「守るべきもの」とは
吉村 哲樹
2010/7/12
企業はセキュリティをどうやって確保しているのだろうか。情報漏えい対策のいまを、オリンパスの事例とカード業界の事例で学ぶ(編集部)
 |
2010年6月18日、東京・大手町にて@IT編集部主催のイベント「@IT 情報漏えい対策セミナー いま知っておきたい『可視化』志向のセキュリティ対策」が開催された。同イベントでは、セキュリティベンダによる自社製品・ソリューションの紹介セッションのほか、基調講演と特別講演が行われた。
基調講演では、大手メーカー企業におけるセキュリティ対策への取り組みについて紹介が行われ、また特別講演ではクレジットカード業界における情報漏えい対策への取り組みについて、PCI DSSの最新動向なども含めて紹介された。本稿では、両講演の概要を以降でレポートする。
「IT主体」から「人主体」のセキュリティ対策へ
 |
オリンパス 情報セキュリティ統括室長 鈴木 均氏 |
基調講演には、オリンパス 情報セキュリティ統括室長 鈴木 均氏が登壇し、同社の情報セキュリティに対する取り組みについて紹介が行われた。
同社は2008年7月、情報セキュリティへの全社的な取り組みを推進する組織として「情報セキュリティ統括室」を発足させた。それまでは、全社的な組織として「情報セキュリティ委員会」が設けられており、さらにIT部門がインフラ関係を中心にセキュリティ施策の計画・実行を担っていたが、セキュリティに特化した組織を新たに設けることで、取り組みのさらなる推進・強化を図ったものだ。
情報セキュリティ統括室の設立と同時に室長に着任した鈴木氏は、まず活動の指針となる「情報セキュリティ戦略」の策定に着手した。戦略で網羅するセキュリティ対策は、ISMSで挙げられている「組織的対策」「人的対策」「物理的対策」「技術的対策」の4つの分野を基本としつつも、同氏はそれに「情報資産管理」を加えることにこだわったという。
「『情報の重要度の識別』『資産へのラベル貼付』『資産台帳の管理』『媒体の管理』といった情報資産管理の活動を、優先度を上げて行うべきだと考えた。ISMSで挙げられている4分野の対策にこれを加えた『4プラス1』で、総合的なセキュリティ対策を実現したいと考えた」(鈴木氏)
さらに、従来のIT主体のセキュリティ対策から一歩進んで、人を中心とした情報の利活用の観点からセキュリティ戦略を考えていく必要性を強く感じたという。
「情報の活用度が高まれば高まるほど、セキュリティリスクも高まっていく。従って、単にITツールを導入するだけではなく、情報を実際に利用する“人”を基本にした管理を考えていかないといけないと考えた。つまり、“マネジメント”を強化しなくてはいけないということだ」(鈴木氏)
業務プロセスとセキュリティ対策のスムーズな連携を
では、こうした戦略に沿って、具体的にどのような施策を行っていくか。同氏は、「セキュリティ対策に初めから完ぺきを求めるべきではない」と言う。そこで同社はまず、大まかに3つの重点戦略テーマを設けた。
「世に数多あるセキュリティ対策のすべてを実行することはできない。まずは、『教育・啓蒙』『エンドポイント』『マネジメント』の3つの重点戦略テーマを設けた。この3つがそれぞれ相互に連携することで、真に効果のあるセキュリティ対策を実現できると考えている」(鈴木氏)
さらにこの3つを、以下7つの具体的な活動領域にブレークダウンした。
- 教育・啓発活動
- 組織体制の整備と強化
- 規定体系および内容の見直し・整備
- 情報資産管理の仕組み作り
- エンドポイント対策
- ID管理、アクセス管理
- 外部攻撃防御対策
同社では現在、これらの活動領域に優先度を付けて、年度ごとに計画を立てて順序実行に移している。その際、現場の業務とセキュリティ対策とをうまく共存させることが非常に重要だと鈴木氏は言う。
「『セキュリティ』を全面に出すと、現場はついてこない。現場の業務プロセスとセキュリティ対策を、いかにスムーズに連携させるかが重要」(鈴木氏)
また、業務プロセス改善でよく用いられるPDCAの手法も、ことセキュリティ対策に関してはひと工夫が必要だという。
「情報セキュリティはガバナンス的な性格が強いため、現場の利益とバッティングすることが多い。そのため、PDCAの“Plan”からいきなり始めるのではなく、その前にまずは“See”、つまり可視化を行って、業務とセキュリティの現状をしっかり把握してから、本当に必要な対策は何かを見極めていく必要がある」(鈴木氏)
 |
| 図1 あるべきサイクルはチェック/可視化から始まる「CAPD」 |
1/3 |
 |
| Index | |
| 情報漏えい対策を通じて「守るべきもの」とは | |
 |
Page1 「IT主体」から「人主体」のセキュリティ対策へ 業務プロセスとセキュリティ対策のスムーズな連携を |
| Page2 さまざまな施策で「社員を守る」ことが「会社を守る」 脅威に晒されるクレジットカード情報を守るために |
|
| Page3 「改正割賦販売法」によるカード情報取り扱いルールの強化 クレジットカード情報保護の国際基準「PCI DSS」 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
