【情報セキュリティ】2 原始的な対応が一番大切

弁護士法人心の鳥光でございます。

 

本格的に暑くなる時期が迫って参りました。

 

体調管理には気を付けたいところです。

 

今回は、前回に引き続き、情報セキュリティのお話です。

 

 

1 システム分野における情報漏洩のイメージ
情報を外部から盗み出すというと、どのようなイメージを持たれますでしょうか。

 

高度な技術を持ちながらも、これを悪用する人が、日夜黒い画面(CUI)に複雑なコマンドを入力し続け、企業等のシステムに侵入して情報を抜き出す、という場面を想像するかもしれません。

 

あるいは、何万行ものプログラムで構成されたコンピューターウィルス(マルウェア)を作成し、ネットワークに載せて流すことで、コンピューターウィルスに感染したシステムから情報を流させるというイメージもあるかもしれません。

 

もちろん、これは間違いではないです。

 

実際、このような形でデータが流出することもあります。

 

(企業のウェブシステムのアウトサイドファイアウォールのログなどを見ると、毎秒のようにポート番号をスキャンされていたりします)

 

このような攻撃に対する対応はもちろん大切ですが、これはシステム技術者に任せるしかありません。

 

情報漏洩対策は、上記のような高度な技術を持った攻撃に対するものだけでは足りません。

 

むしろ、もっと身近な場所で、原始的な手法によって発生する情報漏洩の方が多く、これに対する対応の方が重要です。

 

そしてこれは、システム技術者はもちろんですが、事業に携わる方全てが行わなければなりません。

 

 

2 原始的な原因による情報漏洩
先に例を列挙すれば、パスワードの盗み見・盗み聞き、書類の持ち出し・スマホでの撮影、メール・FAXの誤送信、USBメモリによるデータの抜き出しなどが挙げられます。

 

これらは、いずれも特殊な技術は要りません。

 

システム技術者でなくても、誰でもできてしまう(起こってしまう)ことです。

 

私の知っている事務所では、辞めた従業員が夜中に顧客ファイルをごっそり運び出し、そのまま連絡が取れなくなったいうこともありました。

 

従業員の出入りの管理や、鍵の回収等、システムとは全く無関係な、原始的な対策をしっかり行わないと、このような形で情報セキュリティが保てなくなります。

 

情報漏洩の多くは、内部の者(内部に出入りする者含む)による、意図的な持ち出しか、または過失による流出です。

 

意図的な持ち出しは論外ですが、過失による情報漏洩は、起こしてしまった当の本人も、深刻な精神的ダメージ(場合によっては損害賠償責任)を負います。

 

そのため、仕組みでもって、原始的なセキュリティ事故が起こらないようにすることが大切です。

【情報セキュリティ】1 情報セキュリティスペシャリスト

令和3年7月になりました。

 

これから暑い日も増えてくると予想されます。

 

熱中症には気を付け、しっかりエアコンを入れ、水分補給を行うことが大切です。

 

弁護士法人心の鳥光でございます。

 

今回は、情報セキュリティについてのお話です。

 

 

1 顧客情報
私は、弁護士になる前、航空会社の情報システム部門に勤務していたことがあります。

 

航空会社は、膨大な数の搭乗者の方の情報を扱います。

 

また、マイレージ関連のサービスにおいては、ご住所やご家族の情報など、非常にセンシティブな情報を扱わなければなりません。

 

航空サービスは、政治家や著名人の方なども使用します。

 

そのため、顧客情報は極めて厳重に取り扱わなければなりません。

 

もちろん、航空業界に限らず、お客様の重要な情報を扱うお仕事であれば、顧客情報の管理は重要な課題となります。

 

弁護士の業務も、お客様の財産に関する情報や、身分関係の情報など、非常にセンシティブなものを扱いますので、細心の注意が必要となります。

 

 

2 情報セキュリティスペシャリスト
そこで当時の私は、仕事の一環として情報セキュリティを体系的に学ぶため、情報セキュリティスペシャリスト(現在は廃止され、後継資格として情報処理安全確保支援士)という資格試験の勉強をしていました。

 

情報セキュリティスペシャリストは、情報処理の促進に関する法律に基づき、経済産業省の管轄で、独立行政法人情報処理推進機構が実施する、国家認定資格のうち、専門性、複雑性、責任性、規模が大きい高度情報処理技術者試験の一つとして位置づけられていました。

 

1回不合格となったものの、高度情報処理技術者試験としては珍しく春と秋の年2回試験が実施されていたので、1年以内に2回目の受験で合格することができました。

 

出題範囲は幅広く、暗号化やサイバー攻撃手法の意義を問うものから、プログラミングの脆弱性、ネットワーク(ファイアウォール含む)の構築・設定ポリシー、人的対策など、様々な問題が出題されました。

 

 

3 セキュリティのリテラシーはシステム関係者以外にとっても重要
システムに関する分野は非常に多岐にわたります。

 

多くは、システム関係者側にとって必要な知識です。

 

もっとも、セキュリティ関しては、システム関係者だけでなく、システムを利用する側も十分に知っておくべきものであると考えております。

 

さらにいえば、情報漏洩は、システムに起因するとは限りません。

 

極端な話、事業所の鍵を閉め忘れた隙に、顧客ファイルを持ち去られるということもあります。

 

このような事象に対する対策も含め、セキュリティリテラシーは、事業に関わる方すべてにおいて、高度なものが求められると考えております。