ブログご覧いただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
今回は、情報セキュリティに関する13回目のお話しとなります。
前回は、顧客情報など機密性の高い情報を外部の事業者等の管理下に置く場合に提示すべき要件のうち、ネットワーク・サーバー構成について説明しました。
今回は、アクセス制御・ログ取得についてお話しします。
機密情報が保管されているストレージやデータベースは、ファイアウォールを用いて内部ネットワークからのアクセス制御をし、限定された端末やサーバーからのみ接続可能とすべきです。
そして、保守作業等によってコンソール端末からアクセスする際には、ログイン履歴と操作ログを取得することも必要です。
情報漏洩が発生した際、誰がいつデータベースにアクセスしたかを調査することは、セキュリティ事故対応の基本となります。
そして、一定期間内に複数の保守員等がデータベースにアクセスしている場合には、誰がどのような操作を行ったかを知るために、操作ログがあると助かります。
操作ログがあると、保守員等が意図的に機密情報を持ち出した場合だけでなく、保守員等が認識していないものも含む操作ミスによる情報漏洩の原因追及にも役立ちます。
また、すべての操作ログを取得していることを組織内に周知しておくことで、良い意味での緊張感を生み、情報漏洩の抑止にもつながります。