Embed Size (px)
Citation preview
情報セキュリティ対策
不正防止・リスク対策
Ⅰ 情報セキュリティ対策の必要性1.情報漏洩とは
2.情報を守るべき理由
3.近年の情報流出事件と損害賠償
Ⅱ 守るべき情報とは1.守るべき情報資産とは
2.情報資産への脅威
3.情報資産の維持管理
Ⅲ 中小企業における3つの情報セキュリティ対策1.3つの情報セキュリティ対策
Ⅳ ケース別にみる情報セキュリティ対策1.ケース別の対応策
2.ソニーの情報漏えい事件から何を学ぶべきか
3.最も重要な対策は従業員への教育
1
不正防止・リスク対策 情報セキュリティ対策
情報漏洩とは、内部の機密情報などが外部に漏れてしまうことを言います。
2005 年に個人情報保護法が施行されて以降、個人情報を含む内部情報に対しての意識
は年々高まっているにも関わらず、情報漏洩にまつわる事故は後を絶ちません。
情報漏洩とは、具体的には以下のようなケースを指します。
中小企業は、大手企業に比べてIT化の進展がまだまだ遅く、それと同時に情報管理に
対する意識も低いのが現状です。中小企業の中には、情報漏洩に関する報道は見聞きする
ものの、どこか他人事という会社も数多くあります。
ではなぜ、情報漏洩に注意を払わなくてはならないのでしょうか。
企業は、企業目的の実現のために、顧客満足の高い製品やサービスを作り出し、顧客を
獲得し、製品提供やサービス提供を行い、それらの活動から利益を生み出す一連の活動を
効果的・効率的に行わなければなりません。これらの活動に関する情報が流出した場合、
企業の信用は失墜し、ビジネスにも多大な影響を及ぼします。したがって、企業の競争力
や信用にかかわる情報は、積極的かつ継続的に保護し続けなければなりません。
2 情報を守るべき理由
情報セキュリティ対策の必要性 Ⅰ
1 情報漏洩とは
2
不正防止・リスク対策 情報セキュリティ対策
最近の情報流出事件の具体例としては、以下のようなものがあります。
これらの事例は、漏れた件数が多いためニュースとして報道されました。大規模な顧客
情報などを扱っていない中小企業の場合は無関係かといえば、そういうわけにはいきませ
ん。
実際にこのような事件があった場合、損害賠償裁判の判例として以下のようなものが出
ています。
3 近年の情報流出事件と損害賠償
3
不正防止・リスク対策 情報セキュリティ対策
また、情報を流出した企業は、上記のような損害賠償だけではなく、個人情報保護法に
基づき法的責任も問われることになります。
損害賠償裁判を起こされたり、法的責任を問われたりといったリスクは、中小企業でも
変わらないのです。
そこで、企業が守るべき情報や情報に係る脅威を整理し、中小企業に必要な情報セキュ
リティ対策、そしてケース別の対応策について解説していきます。
4
不正防止・リスク対策 情報セキュリティ対策
「情報資産」とは、パソコンやネットワーク機器、ソフトウェアやデータなど、企業が
守るべき価値のある資産のことです。
パソコンの導入やインターネットの普及により、企業や自治体などの組織における情報
資産の量が急増しており、顧客情報など、その企業でのみ使用されるべき情報が外部に流
出すると、企業の信用性の低下や損失を招きます。
また、顧客情報などの個人情報はプライバシーの観点からも保護が必要であり、この情
報が漏洩してしまうと、企業・組織の信頼性の低下は避けられません。情報は、資産と同
様に企業経営にとって非常に重要なものとして扱う必要があります。
情報資産は「有形資産」と「無形資産」とに分類できます。
1 守るべき情報資産とは
守るべき情報とは Ⅱ
5
不正防止・リスク対策 情報セキュリティ対策
企業が「情報資産」を守るためには、以下のような仕組みをつくる必要がありますが、
決して難しいものではありません。
しかし、実際にトラブル・事故は起きています。それは、以下のような脅威が情報資産
の周りには存在しているからです。
2 情報資産への脅威
6
不正防止・リスク対策 情報セキュリティ対策
情報資産を維持管理するためには、情報資産を「機密性」、「完全性」、「可用性」に係る
脅威から保護することが必要となります。
①機密性(Confidentiality)
コンピュータやシステム、データベースなどにアクセスできるユーザーを制限すること
を意味しています。許可されていないユーザーが、情報やシステムにアクセスすることが
できないようにしたり、データを閲覧することはできても書き換えることはできないよう
にしたりします。このことは、不正アクセスや情報漏洩に対する防御につながります。
②完全性(Integrity)
許可されていない者によって情報が改ざんされたり、破壊されたりしないことを指します。
③可用性(Availability)
正規のユーザーが情報を利用しようとしたときには、いつでも情報にアクセスすること
ができることを意味しています。つまり、可用性を維持するということは、情報を提供す
るサービスが常に動作するということを表します。
これらに対する脅威から情報資産を維持管理するということが、情報セキュリティ対策
に要求される行為になります。そして、企業や組織の保有する情報資産の特質をよく検討
して、機密性、完全性、可用性のバランスを考慮することが大切です。
3 情報資産の維持管理
7
不正防止・リスク対策 情報セキュリティ対策
前章で示した3つの脅威及び維持管理の視点を踏まえた中小企業における情報セキュリ
ティ対策は「人」「物」「技術」の3つの視点で対策を講じる必要があります。
①人的セキュリティ対策
人的セキュリティ対策とは、情報資産を守るための管理体制を明確にしたり、利用者の
セキュリティ意識を高めたりすることです。
人的セキュリティ対策では、まず情報セキュリティに関しての根本的な考え方である情
報セキュリティポリシー(セキュリティ基本方針)を策定します。ここでは、情報セキュ
リティに関する経営者の意図を従業員に明確にし、実現に対して責任を持つことが求めら
れます。
■情報資産管理体制(概念図)
1 3つの情報セキュリティ対策
中小企業における3つの情報セキュリティ対策 Ⅲ
8
不正防止・リスク対策 情報セキュリティ対策
情報セキュリティポリシーを基に、情報セキュリティ対策に関わる責任者と担当者を配
置します。
具体的な取り組みとしては、管理すべき重要な情報資産を区分し、重要な情報について
は、入手、作成、利用、保管、交換、提供、消去、破棄における取り扱い手順を定めます。
例えば、重要な情報を利用できる人に対してのみアクセス可能とすることや、重要な情
報の利用履歴を残しておくことなどの手順などです。
また、外部の組織と情報をやり取りする際には、情報の取り扱いに関する注意事項につ
いて合意を取ることも必要です。
さらに、従業員(派遣を含む)に対し、セキュリティに関しての守秘義務契約や誓約書を
交わし、就業上何をしなければいけないかを明示し、併せて情報セキュリティに関するル
ールの周知と、情報セキュリティに関わる知識習得の機会を持ち、情報に対する意識を高
めることも重要です。
②物理的セキュリティ対策
施設や建物など、物理的な部分にかかわるセキュリティのことです。業務を行っている
建物や重要情報を扱うコンピュータを設置している部屋などを対象に、物理的な方法で実
施する情報セキュリティ対策です。物理的な人·物の出入り、施設·設備そのものの品質
を言います。
具体的には、以下のように決めておく必要があります。
9
不正防止・リスク対策 情報セキュリティ対策
③技術的セキュリティ対策
情報システム及び通信ネットワークの運用管理はシステム管理とウィルス対策を確実に
行うことをいいます。この対策では以下のことを整備し、システム運用管理者を定め、管
理者を中心に管理・運用していきます。
■情報システム及び通信ネットワークの運用管理事項
具体的には、以下のような項目を定めなければなりません。
システムの運用手順
通信などの暗号化
ウィルス対策
外部へのデータ持ち出し
情報資産の区分
10
不正防止・リスク対策 情報セキュリティ対策
最後に、会社内でよく見られるケースとその対処方法についてまとめます。
事例は、①情報資産を持ち出させない、②ユーザーIDとパスワードの管理、③パソコン・
データの処分、④メールによるウィルス対策の4つのケースについて説明します。
(ケース1)情報資産の持ち出し
重要な書類やデータは、置き忘れと盗難のリスクがあるため、原則として持ち出しを禁
止します。
具体的な対策は以下のようなルールを定めます。
1 ケース別の対応策
ケース別にみる情報セキュリティ対策 Ⅳ
原則持ち出し
禁止!!
持ち出しのルール決定
置き忘れ・盗難対策をする
11
不正防止・リスク対策 情報セキュリティ対策
(ケース2)パソコンやデータを処分する
例えば、個人で購入したパソコンを会社内に持ち込みし、業務を行い、新たなパソコン
を購入し、パソコンを廃棄した際に、情報が流出する場合もあります。
この場合、表面上データは削除されていますが、全ての情報が完全にパソコンから削除
される訳ではありません。一度記憶されたものは、ハードディスクや記憶媒体に残ってお
り、それが情報の流出に繋がります。
このような場合の対策は次の通りとなります。
(ケース3)ユーザーIDとパスワードの管理
パソコンのOSやソフトウェアのユーザーIDとパスワードが簡便すぎるために、ID
やパスワードを特定され、情報が漏洩してしまったという事例も少なくありません。
まず、確認しなければならない事項は、パスワード等が従業員の電話番号や誕生日など、
他人が情報として知ることが可能なものになっていないかを確認します。また、電話番号
や誕生日は使っていなかったとしても、例えばパスワード等が「0001」からはじまり、連
番になっていないかということも併せて確認します。
その他にも、IDやパスワードを付箋などに記入してパソコンなどに貼っていることも
よく見る光景です。
したがって、IDやパスワードは、他人に推測されないよう難解なものにして、厳格に
管理する必要があります。また、定期的にパスワード等を変更することも重要です。
具体的には、以下のような対策を講じます。
12
不正防止・リスク対策 情報セキュリティ対策
■解読されないパスワード例
覚えやすく、かつ他人に解読されない方法のひとつに「文字置換の作成」があります。
たとえば、以下のような読替ルールを決めます。
(ケース4)メールによるウィルス感染
コンピュータ・ウィルスによる被害は後を絶ちません。
例えば、発信元が取引先や知人からのメールだったとしても、ウィルスに感染したという
ことがあります。いわゆる「なりすましメール」による被害です。これは、発信者側が自
由に発信者名をコンピュータに設定できるからです。
これを防ぐための対策は以下のようなものが挙げられます。
■注意すべき拡張子
●exe ●com ●bat
など
※拡張子:ファイル名のうち、「.」(ピリオド)で区切られた一番右側の部分。例えば、ファイル名が
「e-words.txt」ならば「txt」が拡張子です。
以下の読替ルールを決定する
a→@ p→+ s→1 w→* o→> r→? d→&
ルールに従って「password」を読み替えると
+@11*>?&
13
不正防止・リスク対策 情報セキュリティ対策
■無形資産の例
●迷惑メール(スパムメール)
受信側の意志とは関係なく大量に送られてくるメール。
宣伝や広告を目的としたもの。対策には、受信拒否設定などがあります。
●チェーンメール
不特定多数のユーザーに転送されるメール。対策としては、メールをそのまま削除す
ることが確実です。
●フィッシングメール
IDやパスワードを詐取するためのインターネットバンキングサイトなどへ誘導する
メールです。IDとパスワードの確認を促す内容のメールを送りつけ、メール中に記
載されているURLにクリックさせる手口です。
対策としては、送信元に確認するなどの対応を行います。
14
不正防止・リスク対策 情報セキュリティ対策
ここ数年、大規模な個人情報漏洩事件といえば内部犯行が多数を占めていました。「尖閣
諸島ビデオ問題」や「Wiki Leaks」による国家機密情報の公開など、世間を騒がせた情報
漏洩事件も内部関係者によるものでした。その一方で、外部からの不正アクセスの手口は
近年さらに多様化しています。2009 年ごろからは、Gumblar や特定企業を狙い撃ちする
「Advanced Persistent Threat(APT)」と呼ばれる巧妙なセキュリティ攻撃など、社員
や協力会社の PC 端末を介したセキュリティ攻撃が頻発しています。
一方でこうした最近の傾向と異なり、「DDoS(Distributed Denial of Service)攻撃
を仕掛けている間に、ハッキングする “古典的”な手口」よる情報漏洩事件が、産業界に
波紋を投げかけました。流出した可能性のある個人情報は、最大で 1 億件以上──。ソニ
ーの顧客情報流出事件が報じられたのです。
流出の最大の原因は「既知の脆弱性」(ソニー)を放置したこと。しかし専門家からすれ
ば“想定内”の攻撃にもかかわらず、ソニーは防衛策を怠っていたのです。
ここではあえて、こうした事件は「対岸の火事」ではないと断言したいと思います。「自
社システムの弱点を放置」する可能性は、どの企業でも起こりうるからです。実際、事件
が報道されて以降、自社システムの安全性を案じる企業が増えており、セキュリティに対
する注意を改めて喚起するきっかけにはなりました。
最新の動向を把握して適切な対策を行うことが重要であることは言うまでもありません
が、基本的なセキュリティ対策をおろそかにしてはならないという教訓が改めて示された
といえるでしょう。また緊急時に対応するグループ、いわゆるレスポンスチームの体制や
非常時の手続き、日ごろの訓練がなされているかどうか、改めて見直してみる必要がある
かもしれません。
情報流出の大半は、実は従業員のうっかりミスが多く、誰もが引き起こすリスクがあり
ます。内閣府の調査によると、情報漏洩元は事業者が約7割、業務委託先が約3割となっ
ています。事業者と委託先で実際に漏洩に関わった者についてみると、従業員(社員や派
遣・アルバイトなど)が約8割で、その原因の7割強が不注意によるものです。
情報流出は、何も悪意のある犯罪者が引き起こす事件とは限りません。個人情報を取り
扱う従業員であれば、誰もが情報流出のリスクを背負っています。
今やビジネスツールとして不可欠な存在となった電子メールも、情報流出経路の一つであ
り、内部統制の面からも社員の電子メールをいかに監視するかが、企業にとって重要な課
題となっています。
勝手に社員の電子メールを見るとプライバシー侵害と言われたこともありましたが、過
2 ソニーの情報漏えい事件から何を学ぶべきか
3 最も重要な対策は従業員への教育
15
不正防止・リスク対策 情報セキュリティ対策
去の判例では、社会通念上相当な範囲であれば、会社が電子メールをモニタリングするの
はプライバシーの侵害に当たらないとしています。
「このくらいは」と高をくくっていると、思わぬリスクを背負い込むことになります。
以上のような仕組みをつくり対策を打つことが、中小企業に求められる課題ですが、最
も重要なことは、従業員の情報流出・情報セキュリティに対する意識を高めることです。
16
不正防止・リスク対策 情報セキュリティ対策
支払い業務も兼任している仕入担当者が、商品を発注している側の強みを利用し、取
引先に請求額以上の金額を支払い、その差額を仕入担当の個人口座に振り込ませていた。
比較的単純な仕入担当者の不正事例です。こういった事例では、仕入先の担当者が不正
に巻き込まれてしまうため、仕入先に対しても多大な迷惑をかけてしまうことになります。
仕入業務と支払業務のような一連の業務を特定の人に任せていると、不正が起こりやす
くなります。
仕入担当者が、取引先の担当者と共謀し、架空取引を企てた。通常の取引での請求に
加え、架空取引の請求も同時にさせた。その架空請求分を、二人で山分けした。
このケースも、前の事例と同様のケースです。仕入担当者との明らかな共謀があった点
が前例とは異なります。
このケースにおいても請求書が支払い手続に廻るまでに、納品書や検収報告書と請求書
の内容のチェックが行われ、その結果を上司が承認するという内部牽制が存在すれば不要
な代金の支払いが防げたはずです。
1 「過大支払額の返金による着服」に関する事例
2 「仕入先の担当者との共謀」に関する事例
購買・仕入部門における不正の手口 Ⅴ
17
不正防止・リスク対策 情報セキュリティ対策
社長の親族でもある仕入担当の責任者が、「トップの指示で、裏金を捻出しなければな
らない」と、悪びれるでもなく、部下や外部業者をも巻き込み架空取引で、多額の裏金
を作り出していた。部下たちも上司の言葉を信じ、協力していたのだが、ある日、その
事実が社長の耳に入り、「トップの指示」というのは嘘で、仕入担当が長年にわたり、個
人的に流用してきたことが発覚した。
この事例では、経営者の親族が仕入に配属され、上記の検収手続を目の当たりにしたこ
とがきっかけで、事件が発覚しました。
仕入材料は日々消費されるため、通常の棚卸資産のように棚卸時に異常を発見すること
ができず、実在性の検証が難しいのが実態です。
概して着服は購買担当部門で生じやすいものですが、このケースでは発注者と検収者が
実質同一であり、かつ人事ローテーションが長期に渡りなく、かつ経営者の縁戚であると
いう特殊要因も加わったものでした。
ある会社が仕入れている商品は、仕入数量が一定の数量を超えるとリベートが支払わ
れる契約になっていた。仕入担当者は数年前からリベートの一部を自己の管理する口座
に振り込まれるように工作し、リベートの着服を行っていた。
仕入数量によってリベートが仕入先からインセンティブ(報奨金)として支払われる場
合には、その金額をきちんと把握できる内部管理体制が必要となります。よくあるケース
では、インセンティブが振り込まれるまでその金額がわからず、また振り込まれてもその
妥当性が検証できない内部管理体制となっていることがあります。仕入数量とインセンテ
ィブの額は事前に仕入先と協議され取引条件書や契約書に記載されていることが通常です。
リベート等の受け取りに際して、その金額の妥当性をそれらの契約に照らし合わせて検証
していれば、事例のような不正が防げたはずです。また、本来受け取るべきリベートがき
ちんと振り込まれていない場合は、その請求もできるようになります。
3 「嘘をつき裏金を捻出、着服」に関する事例
4 「仕入割戻し(リベート)の着服」に関する事例
18
不正防止・リスク対策 情報セキュリティ対策
役職が長く、権限を持っていた取締役経理部長のケース。仕入先から単価が1桁間違
ったため総額で100万円あまり過大となった請求書が到着した。経理部長はその旨を
知っていたのに、いったん取引先に請求書に記載された金額を支払った。その後、相手
先へ連絡し、返金される際にそれを会社の口座ではなく、自分名義の口座に振り込ませ
て着服した。
このケースでは、仕入先が、過大入金の返却振込先の口座名義人が会社でないことに疑
問を抱き発覚しました。そもそもこの不正は、仕入先における単価マスターの改定時にお
いて仕入先の社内チェック体制が手薄であったため発生したミスが発端となっているケー
スです。自社においても単価マスターの改定時には入力ミスがないようにチェックが漏れ
ない仕組み作りが必要です。
5 「取引先のミスを悪用」に関する事例
