ディザスタ・リカバリ指南

<ディザスタ・リカバリ指南 ~9・11からの教訓~>13 情報セキュリティ対策は内部重視(最終回)

2003/03/31 16:04

週刊BCN 2003年03月31日vol.984掲載

 今回は、情報セキュリティの切り口から危機管理について考えてみる。ビジネスに与える影響という点では、企業にとって情報セキュリティの問題が最も危険度の高いディザスタといえるであろう。恐ろしいことに日本の企業の大多数が外部からの攻撃には関心を持っていても、、、、

 今回は、情報セキュリティの切り口から危機管理について考えてみる。ビジネスに与える影響という点では、企業にとって情報セキュリティの問題が最も危険度の高いディザスタといえるであろう。恐ろしいことに日本の企業の大多数が外部からの攻撃には関心を持っていても、ビジネス上、最も大きな脅威となる内部情報セキュリティ対策については無防備な状態である。内部情報セキュリティの脅威について、ある企業で起きた事件を例にとって紹介する。

 A社人事部長のBさんは、今年の新卒採用試験の受験生の1人から1通の電子メールを受け取った。それによると、A社を受験している学生の氏名、出身校、連絡先、A社で行った適性試験の点数、面接官の評価コメントまでが書かれたファイルがインターネット上に流出しているという。B部長は、すぐにそのファイルが保存してあるはずのサーバーをチェックしてみたが、もちろん、ファイルはそのまま残っている。情報システム部に聞いてみてもファイル参照の履歴まではとっていないので、誰がこのファイルにアクセスしたかはわからないという。

 ITには疎いB部長は、このサーバーには人事部の人間しかアクセスできないのだと思い込んでいたが、人事部以外の人でも、サーバーの管理者が使うアドミニストレータのIDとパスワードを知っていれば、サーバー上のすべてのファイルにアクセスできることや、サーバーへのアクセス履歴ファイルを消去することもできるのだという。A社は採用活動を急遽中止せざるを得ない状況になってしまった。

 この場合、問題の本質は社内に悪意をもって情報を漏洩した人間がいたかどうかということではなく、「データの所有者と管理責任」、データの器としての「サーバーの所有者と管理責任」の切り分けや役割分担があいまいだったことである。ここに問題意識がなければ、同様の事件は皆さんの会社でいつ起きてもおかしくないのである。

 ファイアウォールやアンチウイルスは、外部からの悪意ある攻撃に対しては、ある程度の防止効果はあるが、内部からの情報漏洩に関しては全く役に立たない。市販のサーバーOSの設定だけではどうしても限界があるため、社内の重要な情報を扱うサーバーにはコンピュータ・アソシエイツの「eTrust Access Control」のような、データアクセス管理ソリューションを導入することが米国ではセキュリティ対策の最優先課題となっている。(コンピュータ・アソシエイツ テクノロジー ディビジョン コンサルティングディレクター 尾島良司)(終わり)
  • 1