Enterprise Watch
最新ニュース

NECシステムテクノロジー島津氏「個人情報保護法施行までの1年半で対策を」

~C&Cユーザーフォーラム ワークショップ

 12月3~5日、日本電気株式会社(以下、NEC)の主催により、東京ビッグサイトで「C&Cユーザーフォーラム」が開催された。5日には「パソコンデータを守れ! ~高度化する企業内不正アクセスに対する最新の情報漏えい対策」のテーマで、NECシステムテクノロジー株式会社 システムテクノロジーラボラトリ所長の島津 秀雄氏によるワークショップが開かれた。


企業内における情報資産

NECシステムテクノロジー株式会社 システムテクノロジーラボラトリ所長 島津 秀雄氏
 同氏はまず、企業内における情報について「人・モノ・カネに続く資産である」と述べ、「本当に貴重なものは情報管理部門が管理しているが、それらと比べて部門内で作られる文書などの情報管理は誰もできていない」と語った。そして情報漏えい対策の第1歩として「情報資産をきちんと管理すること」と述べ、「マネジメントの体制と規定を作り、IT技術によりこの遵守を支援する」ことで、それが可能になるとした。実際の規定策定にあたっては、「安心・便利・コストのバランスが重要」とした。「セキュアにすればするほど、コストがかかり、不便になる」からだ。

 情報漏えいは近年明らかに増えている。その理由として同氏は「今はネットワークの普及、データストレージの大容量化などの環境により、昔よりはるかに簡単に悪いことができる」と述べた。その原因としては、「8割は内部に起因しており、Web閲覧が可能な場所へデータを置く、配信メールに誤って顧客情報を付加する、ノートPCの置き忘れや廃棄時の不完全なデータ消去など、ミスや無知から起こることが多い」と語り、これらへの対策の現状を、「社内ルールによる防止がほとんど」と述べ、問題視した。

 2003年5月20日に成立した個人情報保護法の対象には、自治体などの情報はもちろん、企業における顧客リストや社員情報も含まれ、「目的外利用や第3社譲渡を禁じている」。また「罰則のある刑法だが、それよりも民事での損害賠償、さらに企業の信用が傷つくほうが大きな痛手になる」と語った。そして「対象はアルバイトも入っている」とし、「法の施行は成立から2年後なので、これから1年半での社内体制の構築が非常に重要になってくる」とした。


情報漏えい対策におけるPlan/Do/See

 情報漏えい対策の考え方として同氏は「情報、メディア、人、ルールの4つの要素で構成されている」とし、「情報資産の把握、資産の再定義と管理の規定、ITによる情報漏えい対策の実運用、発生時への対応と改善と続くPlan/Do/Seeの手順が必要になる」と語った。具体的には「情報の管理主体、重要度、アクセス権、生成から削除までのライフサイクルを明確にする」。例えば「広報発表用の資料は、発表前は機密事項だが、発表してしまえば誰でも閲覧できるものに変わる」と述べた。実際の管理規定などは、USBメモリの利用禁止やアカウント共用の禁止などが考えられるが、「情報の価値により、どの程度のコストをかけるかどうかを決めるべき」だとした。

 Doにあたるのが、セキュリティ機器やソフトウェアによるシステムの遮へい、接続機器やハード/ソフトウェア資産や利用者情報などの把握を行うこと、そして規定の運用となる。これらは常に定期的な診断を行い、状況の変化にあわせ体制のチェックと改善を行うSeeの段階を続ける必要がある。このほか同氏は緊急事態の発生状況を想定し、「火災訓練と同じように、予防訓練を行う」ことや、外部アナウンスの事前作成などの対処プロセスを事前に行うことを勧めた。

 セキュリティマネジメント体制の構築にあたっては、ポリシー作成、運用、実施と進むが、「起こりうる想定パターンをこれまでの例からみて施策を講じる」ことになる。ただそれぞれの事項については「安心・便利・コストのバランスで、必要かを判断するべきだ」と語った。セキュリティ対策は外部からの侵入と内部漏えい対策に大きく分けられるが、後者に関しては「運用状況を告知するだけで抑止・防止効果もある」とした。

 NECシステムテクノロジーでは、セキュリティマネジメント、サイバーアタック対策、認証プラットフォーム、電子文書保全の4つのフレームワークを組み合わせて情報漏えい対策のソリューションとサービスを提供している。また12月1日からは、NEC、NECソフトとNECシステムテクノロジー各社のセキュリティ技術センターが提携し、情報漏えいに関するコンサルティングサービスを全国で開始している。

 最後に同氏は、「セキュリティ対策を行えば今までより便利ではなくなるが、今後1年半の間にそれが当たり前になるよう、会社内の意識を変えていく必要がある」と語った。



URL
  C&Cユーザーフォーラム&iEXPO2003
  http://www.uf-iexpo.com/
  NECシステムテクノロジー株式会社
  http://www.necst.co.jp/
  日本電気株式会社
  http://www.nec.co.jp/

関連記事
  ・ NECなど3社、情報漏えい防止のためのコンサルティングサービスを提供(2003/12/01)
  ・ NEC杉浦氏「問題を抽出するセキュリティ監査には独立性より現状理解」(2003/12/05)


( 岩崎 宰守 )
2003/12/08 16:53

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.