内部不正を防止するために企業は何を行うべきなのか 2015/2/26 株式会社日立ソリューションズハイブリットインテグレーションセンタプロダクト戦略部第 2 グループ 部長代理中川克幸
Contents 1. 最近のセキュリティ事件 事故 2. 経済産業省からの周知徹底要請 3. 内部不正を防ぐための管理のあり方 4. 参考になりそうなガイドライン 1
1. 最近のセキュリティ事件 事故
最近のセキュリティ事件 事故 内部不正による情報漏洩の例顧客データベースに接続し 名簿業者への販売目的で約 2 千万件の顧客情報を私物のスマートフォンに転送 社内 PCからサーバにアクセスし 発売前の商品販売戦略に関する情報を不正な利益を得る目的で私物のハードディスクにコピー転職先での優位性を確保する目的で 勤務先で与えられた自らのIDでサーバにアクセスし 機密情報を記録媒体に無断でコピー 転職先に提供 内部不正事件の特徴 内部関係者による情報窃取の場合 漏洩規模が大きくなりやすい 狙われるのは企業の競争力に関わる重要情報でzあることが多い 業務上与えられた権限を悪用するため 見つけにくい スマートフォンなど私物の記録媒体により持ち出されている 3
2014 年のセキュリティ十大ニュース JNSAが 2014セキュリティ十大ニュース を発表 1 位 9 月 25 日ベネッセ個人情報漏洩事故の調査報告書を公表 2 位 11 月 6 日サイバーセキュリティ基本法が成立 3 位 4 月 7 日 Heartbleedなど脆弱性が多発 (4,5 月 ) 4 位 8 月 1 日オンラインバンキング不正送金の被害急増 5 位 11 月 13 日日本サイバー犯罪対策センター (JC3) 設立 6 位 4 月 4 日警察庁 ビル管理システムの探索行為に注意を喚起 7 位 10 月 1 日マイナンバー制度準備進む 8 位 9 月 3 日 POSマルウェアによる5600 万件のカード情報流出が発覚 9 位 9 月 17 日被害が止まらないパスワードリスト攻撃 10 位 9 月 18 日 DDoS 攻撃業者を使ったオンラインゲームの業務妨害で高校生を書類送検 出典 :http://www.jnsa.org/active/news10/ 4
1 位ベネッセ個人情報漏洩事故の調査報告書を公表 個人情報漏洩事故調査委員会が 事故の経緯 漏洩した個人情報件数 原因 再発防止策などをまとめ公表しました 出典 :http://itpro.nikkeibp.co.jp/atcl/news/14/092501068/ 5
2,5 位サイバーセキュリティに関する基本法や組織成立 サイバー戦略の基盤となる サイバーセキュリティ基本法 が成立され 日本サイバー犯罪対策センター (JC3) も業務を開始しました 出典 :http://itpro.nikkeibp.co.jp/atcl/esi/14/527562/103000002/ 出典 :https://www.jc3.or.jp/media/pdf/pressrelease.pdf 6
7 位マイナンバー制度準備進む 2016 年 1 月より国民に一意的に個人番号を付番し 所得 納税 社会保障に関する情報を一元的に管理される制度が始まります 出典 :http://www.cas.go.jp/jp/seisaku/bangoseido/ 7
情報セキュリティ 10 大脅威 2015 IPA が 2015 年 2 月 6 日 情報セキュリティ 10 大脅威 2015 を公開 今年は近年の情報セキュリティの重要性や変化の速さを考慮し 順位を先行して公表 ( 解説資料は 3 月に公開される予定 ) 1 位オンラインバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術の悪用 9 位脆弱性公表に伴う攻撃の発生 10 位悪意のあるスマートフォンアプリ 出典 :https://www.ipa.go.jp/security/vuln/10threats2015.html 8
2. 経済産業省からの周知徹底要請
経済産業省からの周知徹底要請 経済産業省が 平成 26 年 8 月 18 日に 経済団体に対して個人情報保護法等の遵守に関する周知徹底を要請しました 出典 :http://www.meti.go.jp/press/2014/08/20140818001/20140818001.html 10
経済産業省からの周知徹底要請 組織における内部不正防止ガイドライン (IPA より 2013 年 3 月 25 日公開 ) 11
IPA: 組織における内部不正防止ガイドライン を改訂 平成 26 年 9 月 26 日に改訂し 公開されています 以下の 3 点が強調されています 1. 経営層によるリーダーシップの強化 2. 情報システム管理運用の委託における監督強化 3. 高度化する情報通信技術への対応 スマートデバイス等による情報の持ち出しを抑止する対策 適切なアクセス権限の設定 管理 およびアクセスの監視 ログ活用による監視 本書は 以下の URL からダウンロードできます 組織における内部不正防止ガイドライン http://www.ipa.go.jp/files/000041054.pdf 出典 :http://www.ipa.go.jp/about/press/20140926.html 12
内部不正防止ガイドライン の使い方 内部不正防止ガイドラインには 自社のセキュリティ対策を考える際の参考になる 付録 が掲載されています 付録 Ⅰ: 内部不正事例集 3 つの事例が追加されています 付録 Ⅱ: 内部不正チェックシート 以下を強調するチェック項目に修正されています 1. 経営層によるリーダーシップの強化 2. 情報システム管理運用の委託における監督強化 3. 高度化する情報通信技術への対応 13
時間がない人のための ガイドラインの使い方 ガイドラインの概要をつかむ 自社の現状を知る 他社の事例を学ぶ 1. 背景 (3~5 ページ ) 2. 概要 (6~10 ページ ) 付録 Ⅱ: 内部不正チェックシート (30 項目 ) 付録 Ⅰ: 内部不正事例集 (20 事例 ) リスクに気付く 対策を検討する 4. 内部不正を防ぐための管理のあり方 対策を実施する 継続的に見直す ルールを決める / 見直す 周知 教育する 必要に応じて セキュリティツールを導入する 14
3. 内部不正を防ぐための管理のあり方
4. 内部不正のための管理のあり方 の内容 4. 内部不正のための管理のあり方 では 10 の観点から 30 項目の対策が示されています 4-1 基本方針 4-2 資産管理 4-3 物理的管理 4-4 技術 運用管理 4-5 証拠確保 4-6 人的管理 4-7 コンプライアンス 4-8 職場環境 4-9 事後対策 4-10 組織の管理 内部不正防止のために 特に重視したほうがよい観点です 内部不正が発生した場合の事後の法的手続きを考慮すると 4-2 4-6 4-7 のリスクは許容しない方よいと記載されています ( 内部不正者に非があることを示すために必要な対策であるため ) Hitachi Solutions, Ltd. 2014. All rights reserved. 16
4-2 資産管理 ( 秘密指定 アクセス権指定 ) 企業における 資産管理 の例 情報資産目録の作成 情報の所在を確認し 情報資産目録を作成する 重要度に応じた可視化 情報を重要度に応じて格付けし マーク等を表示する 人を制限 限られた人だけが重要情報にアクセスできるようにする 行為を制限 一人の管理者等に権限を集中させない 対策しないと Hitachi Solutions, Ltd. 2014. All rights reserved. 17
4-2 資産管理 ( 秘密指定 アクセス権指定 ) 対策しないと 情報漏洩に気付かない 不正競争防止法の適用が困難に 情報の重要度を認識しておらず 重要情報が漏洩しても気付かない 要件を満たせず 不正競争防止法の適用が困難になる Hitachi Solutions, Ltd. 2014. All rights reserved. 18
ご参考 不正競争防止法が適用されるための条件 不正競争防止法が適用されるための条件 不正競争防止法が適用されるには 該当する情報が 営業秘密 として管理されている必要がある 不正競争防止法 営業秘密 としての要件 1 有用な営業上又は技術上の情報であること ( 有用性 ) 2 公然と知られていないこと ( 非公知性 ) 3 秘密として管理されていること ( 秘密管理性 ) 情報にアクセスできる者を制限すること 情報にアクセスした者にそれが秘密であると認識できること 2009 年に発生した情報漏洩事件をきっかけとして 翌年一部改正 ( 不正競争以外の目的でも罰することができるようになった ) 処罰対象 不正の競争の目的 2010 年改正 対象拡大 不正の利益を得る目的 又は損害を与える目的 関係者と法的に戦うためには 企業側が秘密管理性を満たす対策を実施しておく必要があるが この対策が難しい ( 秘密管理性を満たしておらず 裁判で敗訴となるケースもあり ) Hitachi Solutions, Ltd. 2014. All rights reserved. 19
4-6 人的管理 企業における 人的管理 の例 例えば こんな対策が有効 ルールは常時掲示 定期的な教育 セキュリティ規程等 ルールは常に見えるように提示する 定期的なセキュリティ教育を実施する Hitachi Solutions, Ltd. 2014. All rights reserved. 20
4-7 コンプライアンス 企業における コンプライアンス の例 秘密保持契約書提出の義務化 雇用時 / 雇用終了時の秘密保持契約書提出を義務化する 就業規則等に罰則規定を定める 就業規則等の規程に 罰則規定を定めておく 対策しないと 競合会社がコピー製品を販売 企業秘密が競合会社に渡り コピー製品が市場に出てしまう 懲戒処分が無効に 従業員からの不当処分の訴えにより 懲戒処分が無効になる Hitachi Solutions, Ltd. 2014. All rights reserved. 21
セキュリティツールにより管理の負荷を軽減 4-1 基本方針 4-2 資産管理 4-3 物理的管理 4-4 技術 運用管理 4-5 証拠確保 セキュリティツールによる技術的対策により 管理負荷を軽減できます 4-6 人的管理 4-7 コンプライアンス 4-8 職場環境 4-9 事後対策 4-10 組織の管理 Hitachi Solutions, Ltd. 2014. All rights reserved. 22
4. 参考になりそうなガイドライン
2015 年に予定されている法改正等 各種法改正や新たな制度の開始に合わせ 企業は セキュリティ対策を検討する必要があります 24
個人情報の保護に関する法律についてのガイドライン 平成 26 年 12 月 12 日に改定され 経済産業省の 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン が改定されました 個人情報保護法で規定された事業者の義務をより具体化 詳細化 本書は 以下の URL からダウンロードできます 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles /1212guideline.pdf 25
高度標的型攻撃 対策に向けたシステム設計ガイド 平成 26 年 9 月 30 日に IPA の標的型攻撃対策ガイドの最新改定版が公開されました 攻撃シナリオにおける攻撃段階に沿い 多層で防御することが必要 本書は 以下の URL からダウンロードできます 高度標的型攻撃 対策に向けたシステム設計ガイド https://www.ipa.go.jp/security/vuln/newattack.html 26
特定個人情報の適正な取扱いに関するガイドライン 平成 26 年 12 月 11 日に 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) が公開されました 罰則規定の強化 主なポイント 特定個人情報 ( マイナンバー ) を取り扱う際の安全管理措置 本書は 以下の URL からダウンロードできます 特定個人情報の適正な取扱いに関するガイドライン http://www.cao.go.jp/bangouseido/ppc/guideline/pdf/26121 1guideline2.pdf 27
END 内部不正を防止するために企業は何を行うべきなのか 2015/2/26 株式会社日立ソリューションズハイブリットインテグレーションセンタプロダクト戦略部第 2 グループ 部長代理中川克幸