• 2023年12月のアーカイブ

情報セキュリティの話2

2023年12月1日(金)

カテゴリー:情報セキュリティ

本ブログにアクセスいただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティのお話の2回目となります。

 

前回は、外部からの不正アクセス対策における、システム面、人的な面での対策について書きました。

 

今回は、組織内部からのアクセス対策について書いていきます。

 

まずシステム面における対策については、センシティブな情報が保存されたデータベースへのアクセス制御があります。
具体的には、顧客名、顧客の住所、顧客の連絡先(電話番号)などが保存されているデータベースについては、ローカルネットワークに設けられたファイアウォールの内側に設置し、業務においては特定のアプリケーションサーバーのみがアクセスできるように厳格なアクセス制御をします。
言い換えれば、社内PC等からはアクセスができないようにしておき、顧客のデータをまとめて抜き出すことができない仕組みにしておきます。

 

もっとも、システムである以上、保守運用の際には端末PCからコンソールを使ってアクセスしなければなりません。

 
そこで人的な面での対策として、顧客データの抜き出しを防止するため、ログイン、ログアウト履歴だけでなく、入力コマンドなどの操作全てを記録するゲートウェイを、データベースとコンソールとの間に設置することがあります。
これにより、不正なデータの持ち去りを抑止することができます。
また、操作ミスなど、何らかの過失によって顧客データが消失した際の原因究明にも役立ちます(単なるデータ消失なのか、不正なデータ持ち去り後の隠蔽工作であるかを切り分けることもできます)。

 

顧客データをクラウドサービス上で使用する場合には、サービス提供プロバイダに対して、上述のようなシステム構成とするよう要件定義をし、システム構築段階でサーバー、ネットワーク構成をチェックするとともに、リリース前には、特定のアプリケーションサーバーおよびコンソール以外からのアクセスができないことのテスト結果を確認するということも大切です。

情報セキュリティの話1

2023年12月1日(金)

カテゴリー:情報セキュリティ

いつも本ブログをご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回からは、情報セキュリティのお話を載せていきます。

 
以前にも何回か情報セキュリティのブログを書きましたが、2年以上前のことなので、改めて記事を書いていく所存です。

 

情報セキュリティは、どのような業務であっても、とても大切な分野であることに異論はないと思います。

 

弁護士など士業の世界も例外ではなく、むしろ依頼者の方のご住所などの身上に関する情報、財産に関する情報など、非常にセンシティブな情報を扱うことから、厳格なセキュリティ対策が求められるといえます。

 

私は前職において、情報セキュリティに関係する業務に就いていたことがあります。

 

IPAが主催する、情報セキュリティスペシャリスト(現在の情報処理安全確保支援士に近いもの)試験にも合格しています。

 

当時は、外部からの不正アクセス対策、組織内部からのアクセス対策、そしてマルウェア(一般的にコンピューターウイルスと呼ばれるもの)対策を行っていました。

 

いずれの対策においても、システム面での対策と、人的な面での対策が必要となります。

 

そして、この2つの面における対策は、車の両輪のようにつながっており、どちらか一方のみ対策をしても、高い効果は望めません。

 

まず、外部からの不正アクセスについては、ファイアウォールの設置(ポリシー設計)や、VPNシステム設置・管理など、システム面での対策が基本になると考えられます。
外部ベンダーのデータセンター(いわゆるクラウド)を使用する場合には、セキュリティに関する詳細な要件定義をするとともに、設計のレビュー、システムテスト結果の確認を行い、外部からの不正アクセスを防止できる作りになっているかの確認も必要になります。

 

そして、人的な面での対応としては、過失による設定ミスの予防、発生時の早期対応ができるようにしておくことが必要となります。
システムに限らず、たとえ誠実で真面目な人が作業を行ったとしても、ヒューマンエラーは確率論的に起き得るということを前提にします。
設定変更は2名以上の体制で行い、かつ作業時の入力コマンドの履歴を残す、変更後の設定データのスクリーンショットを撮るなどし、リリース作業内容に間違いがないかを逐一確認するようにします。
また、設定ミスが放置されることを防ぐため、定期的なペネトレーションテストを行い、不正アクセスが可能な状態になっていないかも確認します。

 

システム面、人的な面のいずれかにおいて、故意または過失があり、損害が生じた場合、誰がどのような責任を負うのかが問題となります。
一般的に、システムに関する法的なトラブルは、責任の所在がとても複雑になります。
そのため、開発、保守運用の契約において、ユーザーとベンダーの役割分担などを明確にしておく必要があります。
リリース体制や作業内容の履歴を記録することも、故意や過失の発生を防止するとともに、もし損害が発生した場合の調査を可能にしてくれます。

 

次回は、組織内部からのアクセス対策について書いていきます。