増え続けるサイバー攻撃と内部者による漏えい
独立行政法人 情報処理推進機構が2016年3月3日付けで開示している「内部不正による情報セキュリティインシデント実態調査」では以下のような記述が確認されています。
「シマンテック社の調査によると、2014年に世界で発生したデータ侵害の原因は、外部の攻撃者によるものが 49%と最も多く、内部犯行の割合は8%であった。Verizon Communications Inc.の調査でも、データ漏えい/侵害の攻撃実行者を外部者、内部者、パートナーに分けると、外部者によるものが8割以上を 占め、内部者の割合は、十数パーセントと外部者に比べ低い割合であった。また、地域は限定されるが、 北米及び欧州、アフリカを対象にISACAがRSA Conference と共同で実施した調査では、2014年に経験した脅威の行為者は、サイバー犯罪者が45.6%で最も多く、次に悪意のない内部者が40.7%であり、悪意のある内部者は28.6%であった。
日本国内では、近年、退職者による海外への技術流出や従業員による不正な情報の窃取など、内部者の不正行為による事件が報道されている。 ~中略~ 中でも、2014年7月に教育事業者で発生した委託先社員による個人情報漏えい事件 は、漏えい件数が3500万件超と大規模であり、関連する法改正やガイドラインの改訂等にも影響を及 ぼし、企業や組織において内部不正対策を見直す契機にもなった。」
このように、 近年、日本においても、情報漏えいは重要なトピックながらも(慣れすぎてしまうのは良くないことですが)日常的に報道されておりますが、その発生原因は 中小企業どころか、社会的信用は高くセキュリティ環境も相当程度、整っていることが予想される大規模な組織体においても例外で無いのが現状です。
今のところ、日本において、情報漏えいとして世に知られることとなるその端緒は、内部通報による情報漏えいの発覚が中心ですが、先ほどのレポートにもありますように、実は、諸外国においては、情報漏えい事故の発生状況は5社以上に外部者からの情報漏えいないし侵害が多くを占めており、実のところ、日本では、本人の知らぬ間に情報漏えいが進んでいるだけのことであり、外部者によるデータ漏洩・侵害はむしろこれから顕在化するのかもしれません。
いずれにせよ、情報化社会の進んだいま、いかに社内情報を適切に管理保管し、その漏えいの防止策を講じるべきかが重要な課題です。
電子データの徹底した管理の必要性
しかし、その一方で、経営情報の電子データ化は、大量の情報を効率的に管理保管が可能であり、また、日常的オペレーションから得られる経営情報の有効活用の意味では、経営情報の電子データによる管理保管は、紙媒体による保管に比して優位性も高く、利益を追い求める宿命を背負う事業会社において、高い情報処理を実現し、労働生産性を飛躍的に向上させる電子データによるデータ管理を、情報管理方法の選択肢からはずすことは、実質的に困難です。
むしろ、電子データによる情報管理を所与としながらも、いかにセキュアに管理保管し、必要なヒトだけに必要な情報を共有し、その拡散防止を食い止めるのかという方針でデータ管理のあり方を考えることになるかと思います。
[RELATED_POSTS]ISMSと情報セキュリティのルールおよび防止策
日本における情報管理に対する注目は、Pマークの認知度の向上を端緒に普及が始まり、個人情報も含めた重要情報を管理するための規格として情報セキュリティマネジメントシステム(ISMS ( Information Security Management System ))も、徐々に認知、普及しつつあります。
ISMSにおいて定められているルールは大まかには、以下のようなものがあげられています。
| ISO/IEC27001:2013の規格要求事項 |
| 4.1 組織およびその状況の理解 |
| 4.2 利害関係者のニーズおよび期待の理解 |
| 4.3 ISMSの適用範囲の決定 |
| 4.4 情報セキュリティマネジメントシステム |
| 5.1 リーダーシップおよびコミットメント |
| 5.2 方針 |
| 5.3 組織の役割、責任および権限 |
| 6.1 リスクおよび機会への取り組み |
| 6.1.1 一般 |
| 6.1.2 情報セキュリティリスクアセスメント |
| 6.1.3 情報セキュリティリスク対応 |
| 6.2 情報セキュリティ目的およびそれを達成するための計画策定 |
| 7.1 資源 |
| 7.2 力量 |
| 7.3 認識 |
| 7.4 コミュニケーション |
| 7.5 文書化された情報 |
| 8.1 運用の計画および管理 |
| 8.2 情報セキュリティリスクアセスメント |
| 8.3 情報セキュリティリスク対応 |
| 9.1 監視、測定、分析および評価 |
| 9.2 内部監査 |
| 9.3 マネジメントレビュー |
| 10.1 不適合および是正処置 |
| 10.2 継続的改善 |
ざっくりいえば、リスクアセスメント(PLAN)、リスク対応(DO)、モニタリング(CHECK)、改善(ACT)のサイクルを上記規格にのせて実現していくことが求められているわけです。
具体的な、情報セキュリティについては様々ながら、大きく分けると防止策は以下のような事項があるでしょうか。
| ① | ルールの策定・遵守、社内教育による防止 | ・情報セキュリティルールの整備・運用(情報セキュリティ委員会設 置と情報システム対策責任者配置など)
・漏えい防止のためのルール作り(近づけない、触らせない、外に持ち出させない) ・対策の陳腐化を防ぐための社内監査 ・セキュリティ教育や周知の徹底 ・社員アンケート(部署ごとに情報セキュリティ対策状況評価) |
| ② | ツールによる防止 | ・社内入退室をICカード管理(エリア制限)
・監視カメラ ・通信ログ監視、異常検知システム ・インストールされているソフトウェアのチェック |
| ③ | ツールの利用制限 | ・私物のスマートフォンを持込禁止
・パソコンの会社貸与、私用メール禁止 ・USBメモリ書込み原則禁止 ・許可されたオンラインストレージ以外へのファイルのアップロード禁止 ・(社内システム登録された退職予定者の)インターネットアクセス、リモートアクセス、ウェブメールなどの禁止措置の実施 |
| ④ | 漏洩のモニタリング
|
・インターネット掲載情報の定期的モニタリング
・内部通報体制の整備 ・システム利用領域の使用状況等のリアルタイム・モニタリング ・(社内システム登録された退職予定者の)記録の訴求監査 |
| ⑤ | 罰則 | ・情報漏洩時の罰則規定の明確化 |
経営情報の保護
情報セキュリティに対する意識の徹底が最も重要であることは異論の余地の無いところですが、他のポイントをあげるとすれば情報資産および当該資産の重要度の特定でしょう。 つまりは組織として本当に守るべき情報とは何なのか、それを明確に定義づけることです。
しかしながら、企業内に存在する情報は数多あり、各担当にとってみれば、どれもが重要な情報、実際に選定するとなると、その線引きは非常に迷うところです。(逆にPマークのように個人情報の保護と明確に整理されているとシンプルといえます。)
- 営業部門において今まさに取り交されるだろう重要な営業情報
- 研究開発部門で創り上げた知的財産情報
- 製造部門における製品の生産方法・ノウハウ
- 財務経理部門のおカネにまつわる決算、財務関連情報
- 人事総務部門の役員・従業員の個人情報、人事考課、勤怠情報
- 法務部門の社内外契約文書、各種係争事件にかかる情報
- システム部門の社内システムにアクセスするためのID・パスワード
いずれも、視点は異なれど企業運営には欠かすことのできない重要情報です。
いきなり社内の重要情報を完全に抽出することは無理があります。とはいえ、分散したままの情報をそのまま放置し続けたからといって、社内教育だけで情報管理をするのも現実的とはいえません。
情報資産の適切な管理を行う以上、(ISMS等の規格導入するしないにかかわらず) まずは全社的な情報管理方針を定めるとともに、(重要情報から皮切りに)情報の管理保管体制の実情把握、そして当該情報の漏洩防止の実現可能性を考慮したデータ管理保管場所の選定、データ管理保管の実施、ルール違反行為の検知手段の整備と定期的モニタリング、違反者の特定とその罰則といったプロセスをできるところから順次進めていくのが、ルールの立案者とオペレーションの実施者双方が納得感をもってはじめられますので、一見、遠回りのようですが、むしろ近道かもしれません。
そして中核となる経営情報の情報セキュリティ体制の継続的運用が確認された後、順次、その範囲を広げていくというのが無理のない情報セキュリティの一歩です。
(ルールに則った運用がポイントですが、それは何も情報セキュリティルールだけに限ったことではありません。社内のルールが何であれ、ルールはあれども、遵守することができないと皆が思っている、あるいは遵守しているかどうかが確認できないようでは、ルールの形骸化をもたらします。
運用履歴を残すために、様々な社内承認帳票の作成と回付も一手段ではありますが、社内帳票を作成することが仕事になってしまうということは往々にして起こりがちです。
以上のように、経営情報の適切な管理保管が必要であることは言うまでもありません。その適切な管理保管のためのルール作りとその遵守・モニタリングは間違いなく重要な管理項目です。
しかし、その一方で企業を取り巻くさまざまな経営情報、オペレーション情報を共有化することが新たな事業展開をもたらす局面にもなっています。例えば、「オムニチャネル」、「インダストリー4.0」、「IOT」の流れからも明らかなように、技術的理由で共有できなかったデータ、あるいは部門相互に不要と判断してきたデータを連携することによって、あらたな事業あるいはサービスが世にもたらされ始めています。
データ管理方針の重要性
漏洩が発覚すれば、即座に手を打たねば行かぬ以上、その堅牢性は重要ながら、情報の活用・共有がもたらすメリットを全く無視した情報管理を行なえば、新たな事業展開のタネを摘み取ることにもなりかねない、データ管理に対する考え方が、これからの事業運営にプラスにもマイナスにも働きかねない、そんな視点から情報管理のあり方を模索しなければいけないということが1番大きなポイントとなっています。
日常の情報プロセスを再構築するにも、企業運営の核となるデータをどう安全に、そして如何に共有するのか、それを実現するには、どんなデータ管理体制構築をめざすべきなのか。
これから各社が目指すビジネスモデルの成長プロセスと照らし合わせながら、 企業成長に伴うデータ管理の拡張性を見据えたグラウンドデザインを設計することが、経営陣にとって重要な意思決定事項となることが予想されます。
「効率性」と「安全性」、 こうした相反するニーズではありますが、それを実現できるデータ管理がそうした知見を有する人材の経営判断への参画が、これからの企業成長を支えるうえでの重要な課題になることでしょう。
著者紹介
ひので監査法人 羽入 敏祐 氏
監査法人トーマツ(現 有限責任監査法人トーマツ)入所、上場企業等監査業務に従事。会計事務所にて会計・税務全般およびM&A関連各種業務事業会社では経営管理実務、IPO準備全般に従事。
監査・経営実務経験を踏まえたITインフラ提案力に強み
ひので監査法人について
ひので監査法人は、2009年5月 設立、大手監査法人の監査経験者と事業会社のマネジメント経験者から構成され、上場準備、中堅国内上場企業向けの効率的監査サービス、バックオフィス支援サービスの提供をしております。信頼される会計プロフェッショナルとしていかに成長し続けていくかを日々模索し、監査ならびにバックオフィス構築サービスの品質維持・向上に取り組んで参ります。
