@IT 情報漏えい対策セミナーレポート
情報漏えい対策を通じて「守るべきもの」とは
吉村 哲樹
2010/7/12
さまざまな施策で「社員を守る」ことが「会社を守る」
個々の具体的な活動内容についても、いくつか紹介が行われた。まず、同社が最も高い優先度で取り組んでいるのが、社員に対する情報セキュリティの教育・啓発活動である。具体的には、e-ラーニングを中心に定期的に教育を実施しているが、制度が形骸化しないよう、コンテンツの内容を逐次見直したり、実施頻度を年1回から2回に増やしているという。また、未受講者に対するフォローは徹底しているという。
「フォローの結果、最終的には受講率を99.8%まで引き上げたが、大事なのは100%に到達させることではなく、社内に『受講しなくても問題ない』という風潮ができてしまうのを防ぐことだ」(鈴木氏)
また、同じく優先度を上げて取り組んでいる課題に、組織体制の整備がある。同社はこれまで、社内の異なる部門間、特に本社の部門間の連携が不足していたことにより、部門を横断する全社的なセキュリティ施策をなかなか打ち出せなかったという。そこで同社は、情報セキュリティ委員会の体制に大幅に手を入れた。委員長に本社管理部門のトップを据え、委員会のプレゼンスを強化するとともに、人事、総務、IT部門等の現場責任者クラスを情報セキュリティ統括室に兼務で参加させることにより、事務局機能の強化を図った。
こうした情報セキュリティ委員会の組織改変により、部門を横断した全社レベルでのセキュリティ施策の計画・立案が大幅に行いやすくなったという。
 |
| 図2 オリンパスにおける情報セキュリティ委員会の組織イメージ。各部門の現場責任者クラスを集めた |
さらに、重点戦略テーマの1つに挙げているエンドポイントに関しても、具体的な取り組みを開始している。同社がエンドポイント対策に重点的に取り組む理由は、単に情報漏えい防止に効果があるだけでなく、社員の教育効果や、情報資産管理の取り組みにもつながる可能性があるからだという。
「e-ラーニングだけではセキュリティ教育は不十分。その点、エンドポイント対策のいいところは、会社のセキュリティポリシーを、実際のPC操作の中で社員に知らしめることができる点にある。例えば、USBメモリにデータをコピーして持ち出そうとしたとき、PCの画面上にアラームが表示されるような機能は、とてもありがたい」(鈴木氏)
同社がこうした取り組みによって最終的に目指すのは、「社員を守る」ことだという。
「社員は人間である以上、誰しもうっかりミスで情報漏えいを引き起こしてしまう可能性がある。もしそうなってしまった場合、不幸になるのは社員本人やその家族だ。そうした事態を未然に防ぎ、社員を守ることが、ひいては会社を守ることになる」(鈴木氏)
最後に同氏は、企業のセキュリティ担当者に向けた提言で講演を締めくくった。
「どんなに素晴らしいITツールを導入しても、それを使いこなせなければ意味がない。そして、ツールを使うのは人。従って最終的に大事なのは、使う人の意識だ。まずは、セキュリティに対する社員の意識向上に取り組むことが、何よりも重要だと思う」(鈴木氏)
脅威に晒されるクレジットカード情報を守るために
 |
日本カード情報セキュリティ協議会 事務局 森 大吾氏 (日本オフィス・システム) |
特別講演では、日本カード情報セキュリティ協議会(JCDSC)事務局の森 大吾氏により、クレジットカード業界における情報漏えい対策について講演が行われた。
金融業界では銀行口座番号やクレジットカード番号など、非常に重要な個人情報を扱うため、ほかの業界と比べて一段と高いレベルの情報セキュリティが要求される。特にクレジットカード番号に関しては、ECサイトにおけるクレジットカードの利用が広がっているため、情報漏えい対策への取り組みが危急だとされている。近年よく耳にする、クレジットカード情報保護の国際基準「PCI DSS」も、こうした社会的要請を受けて大手クレジットカード企業が中心となって策定されたものだ。
しかし、クレジットカード業界におけるこうした取り組みは、他業界の企業にとっても参考になると森氏は言う。
「必ずしもクレジットカード情報を扱う企業でなくとも、『カード情報の保護というのはどういうレベルのセキュリティが要求されているのか』『どういう対策を多くの企業がやっているのか』といったことは、大いに参考になるはず」(森氏)
まず同氏は、海外・国内におけるクレジットカード情報漏えい事故の事例をいくつか挙げ、漏えいの規模と、企業が被る被害が年々増大している現状を紹介した。また、スペインで1270万台規模のボットネットを操りクレジットカード番号を盗み出していた犯罪組織の一員が逮捕された事例と、国内大手生命保険会社のクレジットカード情報漏えい事故で中国企業の関係者が容疑者として挙がっている事例を挙げ、インターネット犯罪が国際化しつつある状況を説明した。
「金銭目的でクレジットカード情報のハッキングを狙う国際シンジケートが形成されている。その組織の内部は、マルウェアの制作担当者、攻撃担当者、仕切り役のブローカーなど、役割に応じて細分化されており、組織を防衛するボディーガードとして暴力組織も付いている。暴力組織といっても、日本の暴力団よりはるかに規模が大きく、近年では国際テロ組織とのかかわりも明らかになっている」(森氏)
米国では、こうした犯罪組織がクレジットカード情報を転売して得た利益が、アルカイダのような国際テロ組織の資金源になっていると指摘されている。インターネット犯罪には国境がないため、日本企業の情報漏えい対策も、「国際テロ組織に資金が流れないように」ということまで留意しなくてはいけない時代になってきている。
 |
| 図3 カード情報を得るために分業化が進む犯罪組織 |
 |
2/3 |
 |
| Index | |
| 情報漏えい対策を通じて「守るべきもの」とは | |
| Page1 「IT主体」から「人主体」のセキュリティ対策へ 業務プロセスとセキュリティ対策のスムーズな連携を |
|
 |
Page2 さまざまな施策で「社員を守る」ことが「会社を守る」 脅威に晒されるクレジットカード情報を守るために |
| Page3 「改正割賦販売法」によるカード情報取り扱いルールの強化 クレジットカード情報保護の国際基準「PCI DSS」 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
