情報セキュリティの話6

今日も本ブログにアクセスいただき、誠にありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の6回目となります。

 

前回は入口対策についてお話をしましたので、今回は出口対策について説明します。

 

入口対策は外部のネットワークからの侵入やマルウェアの持ち込みを防ぐものであるのに対し、出口対策は社内ネットワークから外部へのデータの流出や不正サイトへのアクセスを防止するためのものです。

 

業務等でインターネットから情報を取得することがある以上、正規の通信の形式で社内ネットワークに入り込むデータを遮断するわけにはいきません。

 

典型的なものとしては、不正なリンク先を記載したメールや、圧縮形式のファイルとなっているマルウェアを添付したメールなどが挙げられます。

 

これらの目的は、個人情報を不正に入力させるサイトへの誘導や、社内ネットワーク上のデータの外部送信です。

 

そこで、社内ネットワークからインターネット方向への通信を監視し、不正と考えられる通信を遮断することができれば、情報流出を防止することができます。

 

これが出口対策です。

 

システム面における出口対策は、社内ネットワークとインターネットとの間に、ゲートウェイを設置し、不正なインターネット向け通信を検知した場合に遮断することです。

 

より具体的には、社内ネットワークからの不正なアクセス先のURLやIPアドレスを検知した場合に、通信を遮断することが基本となります。
これらのURLやIPアドレスの情報については、パターンファイルを随時更新する形で取得します。
(そのため、発生して間もない不正サイトについては対応しにくいという問題もあります(ゼロデイエクスプロイト))。

 

人的な面における出口対策は、セキュリティ対策の基本でもありますが、不審なメールに記載されたURLリンクをクリックしないことや、添付ファイルを開かないことです。
他には、社内ネットワークとは別経路でインターネットに接続可能なPC等を社内ネットワークに接続してはならない旨の規定を定め、守らせることが挙げられます。

ブログ一覧はこちら

情報セキュリティの話5

今回も本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関するお話の5回目となります。

 

セキュリティ対策の概念のひとつとして、入口対策と出口対策というものがあります。

 

まず、入口対策についてお話しします。

 

入口対策というのは、インターネットなど、外部から社内ネットワークへの侵入(入口からの侵入)を防ぐというセキュリティ対策です。

 

入口対策は、社内ネットワークという概念ができてから、それほどに時間を経ずになされてきた、基本的なセキュリティ対策です。
現在においては、論じるまでもなくなされているセキュリティ対策と言っても過言ではないと考えられます。

 

具体的には、インターネットと社内ネットワークの間にファイアウォールを設置し、リモートワーク用のVPNゲートウェイ経由の接続など、社内ネットワーク外部からの接続については限定された通信のみが通過できるようにするというものがあります。

 
そのほかにも、マルウェアが添付されたメールがメールサーバーに届く前に遮断するというものや、ファイアウォールで侵入(および侵入の試みと考えられるアクセス)を検知した場合にセキュリティセンターにアラートが上がる仕組みを構築するというものが挙げられます。

 

このように、入口対策は、システム面での対応が基本となります。

 

もっとも、人的な面での対策が不要というわけではありません。

 

最近ではメールサーバーの進化等によって減りましたが、メールに不審なファイル(特に実行ファイル)が添付されている場合には、当該ファイルを開かないように社内教育をすることは今でも大切なセキュリティ対策となります。

 

また、コロナウイルスによってリモートワークが普及したために発生した新たな問題もあります。

 
リモートワークは、ネットワーク通信の観点から見ると、外部からインターネットを経由して、社内ネットワークにアクセスをすることになります。
IDやパスワードなど、リモートワークをする際の接続に関する情報を社外の人に知られてしまうと、不正侵入を許してしまう可能性があります。
これは一種のなりすましでもあるので、システムでは不正な侵入として遮断することができません。

 
そのため、リモートワークに関する接続情報は決して外部の人に知られないよう、しっかりと社内教育をしておく必要があります。

ブログ一覧はこちら

情報セキュリティの話4

本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の4回目となります。

 

前回に引き続き、セキュリティ事故とヒューマンエラー対策についてのお話となります。

 

会社等の組織における代表的なセキュリティ事故としては、データが入ったメディアの紛失(置き忘れなど)、データの誤送信(メール、FAXなど)、メール操作の誤りによるマルウェア感染が挙げられます。

 

今回は、データが入ったメディアの紛失(置き忘れなど)の対策について説明します。

 

データが入ったメディアの紛失の典型的な例としては、職務上のデータが保存されたUSBストレージやノートPC、スマホを、職場以外の場所に落としたり置き忘れてしまったりし、その後見つからなくなってしまうというものが考えられます。

 

これらのメディアが第三者に渡ってしまった場合、その第三者が警察や建物の管理者等に届けてくれない限りは、回収は困難となり、メディア内部の情報を見られてしまう可能性があります。

 

1つめの対応策としては、そもそもメディアを外部に持ち出す必要がない業務設計をする、ということが挙げられます。
大切なのは、メディアを外部に持ち出さないというルールを定めることではなく、メディアを外部に持ち出さなくても円滑に業務が遂行できるようにすることです。
紛失のリスクを負ってまで、業務上のデータが入ったメディアを持ち歩きたい人は、通常いないと考えられます。
黙示のものを含め、現場の担当者では抗えない何らかの事情があり、やむなく持ち出しているということも多いです。

 

2つめの対応策としては、万一メディアを紛失しても、第三者がその中身にアクセスできないようにすることです。
具体的には、パスワードによるロック(できればハードウェアレベルの暗号化)、生体認証によるアクセス制限、遠隔操作によるデータ消去が挙げられます。
ただし、これらの対応策の効果は絶対的なものではありません。
高いデータ復元技術を持つ第三者が操作することで、情報が漏洩してしまう可能性も、ないとまでは言い切れないという点には注意が必要です。

 

結論としては、できる限り外部にメディアを持ち出さなくても済む業務設計をし、どうしてもメディアを持ち出さなければならない事態に備えて、データへのアクセス制御を施すことが、データが入ったメディアの紛失(置き忘れなど)への有効な対策となります。

ブログ一覧はこちら

情報セキュリティの話3

本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の3回目となります。

 

今回は、過失によるセキュリティ事故防止について述べます。

 

これは、人的な面でのセキュリティ対策に属するものであり、主にシステム担当者ではない一般的な従業員等の挙動に着目した対策です。

 

まず、重要な前提として、ヒューマンエラーは発生しうるという概念を念頭に置く必要があります。

 

これは、何らかの作業をする人が、どれだけ誠実な性格を持っていたとしても、そしてどれだけ細心の注意を払いながら作業をしていたとしても、確率論的にミスは生じるという考え方です。

 

筆者は、航空会社に勤めていたことがあり、この考え方は、航空機の整備部門では古くから取り入れられている考え方であると教わったことがあります。
航空機の整備においては、ひとつのミスが大きな危険を生んでしまうことがありますが、それを望んで整備をする方などはいるはずがないのです。
むしろ、これ以上ないくらい緊張感を持って作業をしているにもかかわらず、小さなものも含め、危険が生じてしまうことがあります。

 

ヒューマンエラーの発生は、その作業をした方個人の自助努力だけでは防ぎようがありません(上述の前提は、このように言い換えられます)。
そのため、ヒューマンエラーが実際の事故につながることを抑制するためには、組織的な対応により、セーフティネットを設ける必要があります。
そのような対策をしておらず、ヒューマンエラーによる事故の責任まで個人に負わせる組織は客観的にみても危険であり、従業員の観点からしても、信用できない就労環境であるともいえます。

 

次回以降、代表的なセキュリティ事故と、ヒューマンエラー対策について説明します。

ブログ一覧はこちら

情報セキュリティの話2

本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の2回目となります。

 

前回は、外部からの不正アクセス対策における、システム面、人的な面での対策について書きました。

 

今回は、組織内部からのアクセス対策について書いていきます。

 

まずシステム面における対策については、センシティブな情報が保存されたデータベースへのアクセス制御があります。
具体的には、顧客名、顧客の住所、顧客の連絡先(電話番号)などが保存されているデータベースについては、ローカルネットワークに設けられたファイアウォールの内側に設置し、業務においては特定のアプリケーションサーバーのみがアクセスできるように厳格なアクセス制御をします。
言い換えれば、社内PC等からはアクセスができないようにしておき、顧客のデータをまとめて抜き出すことができない仕組みにしておきます。

 

もっとも、システムである以上、保守運用の際には端末PCからコンソールを使ってアクセスしなければなりません。

 
そこで人的な面での対策として、顧客データの抜き出しを防止するため、ログイン、ログアウト履歴だけでなく、入力コマンドなどの操作全てを記録するゲートウェイを、データベースとコンソールとの間に設置することがあります。
これにより、不正なデータの持ち去りを抑止することができます。
また、操作ミスなど、何らかの過失によって顧客データが消失した際の原因究明にも役立ちます(単なるデータ消失なのか、不正なデータ持ち去り後の隠蔽工作であるかを切り分けることもできます)。

 

顧客データをクラウドサービス上で使用する場合には、サービス提供プロバイダに対して、上述のようなシステム構成とするよう要件定義をし、システム構築段階でサーバー、ネットワーク構成をチェックするとともに、リリース前には、特定のアプリケーションサーバーおよびコンソール以外からのアクセスができないことのテスト結果を確認するということも大切です。

ブログ一覧はこちら

情報セキュリティの話1

いつも本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回からは、情報セキュリティのお話を載せていきます。

 
以前にも何回か情報セキュリティのブログを書きましたが、2年以上前のことなので、改めて記事を書いていく所存です。

 

情報セキュリティは、どのような業務であっても、とても大切な分野であることに異論はないと思います。

 

弁護士など士業の世界も例外ではなく、むしろ依頼者の方のご住所などの身上に関する情報、財産に関する情報など、非常にセンシティブな情報を扱うことから、厳格なセキュリティ対策が求められるといえます。

 

私は前職において、情報セキュリティに関係する業務に就いていたことがあります。

 

IPAが主催する、情報セキュリティスペシャリスト(現在の情報処理安全確保支援士に近いもの)試験にも合格しています。

 

当時は、外部からの不正アクセス対策、組織内部からのアクセス対策、そしてマルウェア(一般的にコンピューターウイルスと呼ばれるもの)対策を行っていました。

 

いずれの対策においても、システム面での対策と、人的な面での対策が必要となります。

 

そして、この2つの面における対策は、車の両輪のようにつながっており、どちらか一方のみ対策をしても、高い効果は望めません。

 

まず、外部からの不正アクセスについては、ファイアウォールの設置(ポリシー設計)や、VPNシステム設置・管理など、システム面での対策が基本になると考えられます。
外部ベンダーのデータセンター(いわゆるクラウド)を使用する場合には、セキュリティに関する詳細な要件定義をするとともに、設計のレビュー、システムテスト結果の確認を行い、外部からの不正アクセスを防止できる作りになっているかの確認も必要になります。

 

そして、人的な面での対応としては、過失による設定ミスの予防、発生時の早期対応ができるようにしておくことが必要となります。
システムに限らず、たとえ誠実で真面目な人が作業を行ったとしても、ヒューマンエラーは確率論的に起き得るということを前提にします。
設定変更は2名以上の体制で行い、かつ作業時の入力コマンドの履歴を残す、変更後の設定データのスクリーンショットを撮るなどし、リリース作業内容に間違いがないかを逐一確認するようにします。
また、設定ミスが放置されることを防ぐため、定期的なペネトレーションテストを行い、不正アクセスが可能な状態になっていないかも確認します。

 

システム面、人的な面のいずれかにおいて、故意または過失があり、損害が生じた場合、誰がどのような責任を負うのかが問題となります。
一般的に、システムに関する法的なトラブルは、責任の所在がとても複雑になります。
そのため、開発、保守運用の契約において、ユーザーとベンダーの役割分担などを明確にしておく必要があります。
リリース体制や作業内容の履歴を記録することも、故意や過失の発生を防止するとともに、もし損害が発生した場合の調査を可能にしてくれます。

 

次回は、組織内部からのアクセス対策について書いていきます。

ブログ一覧はこちら

空き家活用の話18

本日も本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

空き家については、増加していることが問題とされることが多いです。

 

しかし、少し前のNHKのウェブサイトの記事によれば、移住希望者の数に対して、空き家の数が足りないという地域があるとのことです。

 

https://www.nhk.jp/p/ts/2W7WM664QP/blog/bl/p49ydrXMn4/bp/pOBXX6373a/

(リンクは公開時点のもの。リンク切れの際はご容赦ください。)

 

空き家の数が足りていないがゆえのことではありますが、老朽化した古民家を修繕して住む方もいらっしゃるという点はすごく良いと感じました。

 

家を修繕して使い続けるという文化が根付くことで、家は消耗品ではなく資源・資産になると思います。
(もちろん、日本は台風や地震など、家がダメージを受ける自然現象が多いので、限界はあるとは思いますが)

 

普段、相続財産清算人の業務などで一軒家を清算する場合、多くは現状有姿で売却し、その後解体されます。

 
残置物がとても多かったり、10年以上放置されていてひどく傷んでいる家も多いので、解体することはやむを得ないと考えつつも、心のどこかでは家を再生できたらよいのにと思うことはありました。

 

修繕が必要であるがゆえに、購入の候補から外れてしまう空き家もあると思います。

 
そこで、大工さんなどのプロの方ではない方でも、ある程度簡易な修繕であればできるという技術を持つようになれば、選ぶことができる空き家も増えると考えております。

ブログ一覧はこちら

空き家活用の話17

今回も本ブログをご覧いただき、誠にありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

NHKのウェブサイトに、「遺品部屋」という名称で、空き家となった集合住宅の部屋についての特集が掲載されていました。

 

https://www3.nhk.or.jp/news/html/20231024/k10014235141000.html

(リンクは公開時点のもの。リンク切れの際はご容赦ください。)

 

ご高齢で直系尊属がすでにおらず、かつ配偶者や子供がいない(または先にお亡くなりになられている)場合、兄弟姉妹がいれば兄弟姉妹が相続人になります。

 

取り上げられているケースは、マンションやアパートなどの集合住宅に独居していた高齢者の方がお亡くなりになられたというものです。

 

もっとも、ご高齢の方の場合には兄弟姉妹の方もお亡くなりになられていることもあり、兄弟姉妹の子(いわゆる甥や姪)が相続人になることが多くあります。

 

甥や姪になると、お亡くなりになられた方とは疎遠であることも多いです。

 
集合住宅の管理者等が弁護士等を通じて連絡をするまで、甥や姪は、叔父や叔母にあたる被相続人がお亡くなりになられたこと自体を知らないということもあります。

 

そして、集合住宅の部屋以外にはめぼしい財産もなく、逆に多量の残置物(いわゆるゴミ)があったり、管理費の滞納が多額にのぼっているということさえあります。
(ご生前の段階から事理弁識能力を失って管理費が払えていなかったり、お亡くなりになられた後、長期間が経過することで管理費の滞納額が増えます)

 

このような状況であると、相続人としては、よほど時間にもお金にも余裕がある場合を除き、相続放棄をせざるを得ないというのが現状であるかと考えられます。

 

相続人は相続放棄により(相続財産を現に占有していない限り)一切の責任を免れますが、遺品部屋は物理的には残り続けます。

 

このままでは遺品部屋の中の残置物処分も、遺品部屋の売却も、管理費の回収もできないため、管理者等や他の住民の方が困ってしまいます。

 

どうにかするには、利害関係人(本件であれば管理費の債権者である管理者等も該当します)が相続財産清算人の選任申立てをしなければなりませんが、これには専門知識に加え、100万円程度の予納金が必要となります。

 

これは、決して小さいとはいえない負担です。

 

個人的には、この部分を何とか手当てする仕組みがあればという思いがあります。 

今回のケースとは異なりますが、賃貸住宅においては、住民がお亡くなりになられた際、残置物の処分権限は賃貸人に移り、撤去が可能となる旨の条項を含めた契約書モデルなども存在します。

 

これによって、賃貸物件が塩漬けになることを防ぎ、再び他の方に貸すことができるようになります。 

今回のようなケースにおいては、思い付きのレベルではありますが、例えば集合住宅の持ち主がお亡くなりになり、かつ相続人不在(もともと不在または相続人が全員相続放棄をした)の場合には、相続財産清算人選任申立ての弁護士費用及び予納金をカバーするという内容の管理者向け保険商品があればと思う次第です。

ブログ一覧はこちら

空き家活用の話16

本日も本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

職業柄、通勤以外の場面においても、電車で移動することがしばしばあります。

 

都心部以外を走行している際、特に住宅の多い地域で窓の外を眺めていると、空き家なのではないかと推察される建物が見えることがあります。

 

そのような建物が駅の近くにあることもあり、仮に本当に空き家であったとすると、個人的にはもったいなさを感じることもあります。

 

経験上、次のような特徴がある建物は、空き家である可能性があります(もちろん、何らかの事情を抱えた方がお住まいの可能性もあります)。

 

①ツタや草木が建物や敷地内で伸び放題になっている

②塀や窓が破損している、金属製の外壁がボロボロに腐食している

③常に雨戸が閉まっている、玄関ドアが板などで塞がれている

 

①は、個人的にはもっとも典型的な特徴であると考えております。

 
特に、玄関を草木が覆いつくしている場合、出入りが長年なされていないということになります。

 

②については、住人がいるものの単に修理ができない事情があるということも考えられますが、住居の機能を著しく損なった状態のままであるのは、住居として使用されていない可能性があります。

 

③については少し特殊ですが、近隣の方が当該建物が空き家であることを知っていて、防犯のために外側から雨戸を閉めたり玄関ドアを塞いだりしたという可能性があります。

 
実際、私が管理した空き家のひとつは、玄関ドアが施錠されていない状態であったので、釘で打ち付けられていました。

 
おそらく最後の住人の方が、施錠をしないままお亡くなりになり、そのことを知った近隣の方がご厚意で防犯のために玄関ドアをふさいでくれたのだと思います。

ブログ一覧はこちら

空き家活用の話15

本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

住宅不足の解消策として、京都市では空き家税(正確には「非居住住宅利活用促進税」)を導入する予定です。

 

https://www3.nhk.or.jp/news/contents/ohabiz/articles/2023_0412.html

(リンクは公開時点のもの。リンク切れの際はご容赦ください。)

 

京都市内では現在、特に市の中心部において住宅の価格が高騰し、住宅の手配ができない世代がやむを得ず市外に流出しているという問題があるとのことです。

 

一方、京都市内には10万軒以上の空き家があります。

 

そこで、空き家に対して課税をすることで、空き家を売却したり賃貸したりする動機づけをし、これまで住宅の購入等が難しかった方が住宅を手配できるようにして人口流出を抑えるというのが空き家税の狙いです。

 

ここからは私見ですが、特に人口の多い地域で空き家が増えてしまうと、住宅不足と住宅価格の高騰を引き起こすと考えております。

 

空き家は、存在している限り、その敷地を他の方が利用することができません。

 

そして、空き家が増えれば増えるほど、宅地として使用できる土地は減っていきます。

 

その結果、物理的に住宅が不足していくとともに、宅地の希少価値が上がり、住宅の価格が高騰してしまうことになります。

 

すでに相続人が不存在となってしまった空き家については、家庭裁判所を通じた手続きにより清算をしない限り流通させることはできませんが、まだ所有者が存在している空き家については、所有者の意思により流通させることができます。

 

家を売るということに対する精神的な障壁は決して低いものではなく、課税という手段が本当に適切かという観点もあります。

 
もっとも、空き家の所有者に、空き家の売却等を強く動機づける手段が他にあるかというと、それもすぐに思いつくものではありません。

 

京都市以外にも、空き家が多数存在する自治体はあります。

 
今後、各自治体が空き家に対してどのような対策を講じていくのか、とても興味深いところです。

ブログ一覧はこちら