 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
事故前提社会の企業に必要な「情報セキュリティ対策」とは? |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
株式会社シマンテックは8月25日、プレス向けのワークショップを開催し、個人情報保護法施行を半年後に控えた現状と、シマンテックが考える「企業が講ずべき対策」についての説明を行った。 はじめに登壇したのは、株式会社三菱総合研究所(以下、三菱総研)の情報環境研究本部 情報通信政策研究部 情報セキュリティチームリーダー 主席研究員、松尾正浩氏。同氏は「個人情報保護をしなくてはならないというのはほとんどの企業がわかっている。しかし、まず何が個人情報か、という判断がつかない。また、(具体的に)何をすればいいのかがわからない」という現状の問題点をまず指摘する。 ■ これからの企業に要求されるのは、「説明責任を果たす」こと
2つ目は、「個人データ」というくくり。これは、個人情報のうち「検索性を有し、体系的に構成されている」ものがこれに該当する。さらにその個人データのうち、6カ月以上保有されているものが3つ目の「保有個人データ」になる。これらは、個人情報、個人データ、保有個人データ、の順に規制が厳しくなるため、各企業は自社の持つ情報がどれに当てはまるのかを考慮しながら、対策を取っていく必要があるという。たとえば、企業が開示要求に応えなくてはならないのは「保有個人データ」のみだが、利用目的の特定や事前通知が要求されるのはすべての「個人情報」、といった具合だ。 また現在では個人情報保護法に加え、内閣総理大臣の基本方針として「いわゆるプライバシーポリシーを公表したり、事故が起きた時に事実関係を公表したりすることが示されている」(松尾氏)ほか、経済産業省のガイドライン(案)では「個人データを対象として、組織的、人的、物理的、技術的な安全管理措置、つまり情報セキュリティ対策を講ずるべき」(同氏)とされている。 しかし、こうして安全管理措置が法令などに基づき義務化されているものの、実際には「完ぺきな情報セキュリティ対策はあり得ず」(松尾氏)、事故が起こる前提で考えていかねばならないのである。そのために、「どこまで対策を実施すればよいのかが判然としない」ということで悩んでいる企業が多いのだという。そこで同氏は、「万一の場合に備え、企業が説明責任を果たすことが、今後は重要になってくる」とする。 これはつまり、「事故に備え、安全対策を実施した、という証拠を残すこと。できる範囲で最善のことはしてきたのだという点を示すこと」だという。例えば、個人情報を保管してある場所に立ち入るための入退室の記録を取る、アクセスログを定期的にチェックして不審な行動がなかったを定期的に監査する、といったことがこれに当てはまる。また、企業が取引する会社を選択する場合、同じレベルの製品を持つ2社から1社を選ぶのであれば、「より安全な方に仕事を頼もうとするだろう。自社の取り組みを相手に説明できるようにしておくことも、説明責任を果たすということの1例」、と松尾氏は解説した。 ■ “保護”製品導入の前に、ポリシーの再確認を
しかし、野々下氏は「ファイアウォールを入れているから大丈夫とか、Windows NT系はセキュリティ機能が低いと言われているからLinux系にOSを変えれば大丈夫、という話になるかというと、それは違う」と述べる。「安全管理措置をやっていることを技術的に監査して、『ここまでやっている』ことを示すための、“ポリシー監査”カテゴリの製品が重要だ」と野々下氏は主張するのだが、残念ながら日本ではこのジャンルの製品はポピュラーではないという。 このポリシー管理製品とは、それぞれの項目がきちんと設定されているのかどうか、を確認するためのものだ。「先の例でいうと、Windows NTにはセキュリティサブシステムがきちんと実装されていて、オーディットログは取れるし、特権の設定やアクセスコントロールの設定ができる。ポイントは、それらをきちんと設定しているかしていないか、ということだろう」と述べた野々下氏は、「情報が流出した後、(過去に)何があったかわからない、ということがよくある。これは多くの場合、ログを取る機能が有効に働いていないため」とも指摘し、現状では監査が十分ではないという実情を語った。 野々下氏は続けて、「OSが持っている安全管理の仕組みがあるのに、これを守ることができていない。まずはここをきちんとやることが大事。そこでリスクを小さくした上で“保護”製品を導入しないと、きちんと守ることはできないだろう」と述べ、ポリシー監査製品として、同社の「Symantec Enterprise Security Manager」(ESM)を紹介した。 ポリシー監査は手動で行うという選択肢もあるのだが、台数が多ければ多いほど、物理的に難しくなる。ESMでは、クライアントPCのパッチ適用情報や、起動しているアプリケーション情報、ユーザーパスワード/アカウントの設定状況などを、細かく、かつ一元的に確認でき、またWindowsやLinux、UNIXなどの多彩な環境に対応するため、効率的に監査が行えるという。さらに、プレコンフィグレーションされた“ベストプラクティス”ポリシーも用意されており、「監査を実施するための知識やノウハウを持たないユーザーでも、使用できるように工夫されている」と野々下氏はそのメリットを説明する。 さらに野々下氏は、「“保護”製品に目がいきがちだが、その前にやることがある。OSがもともと持っているセキュリティを一度見直すべき。ESMのコンソールで実際(ポリシーが)どれだけ守られているかを確認することによって、何か起きた時に説明責任が果たせるのではないか」と述べ、再度ポリシー監査製品の重要さを訴えていた。 ■ URL 株式会社シマンテック http://www.symantec.co.jp/ 株式会社三菱総合研究所 http://www.mri.co.jp/
( 石井 一志 )
|
|
|
|
|
|
|