プロジェクトに潜む情報漏えいリスク発見アプローチ

Similar documents

<4D F736F F D20D8BDB8CFC8BCDED2DDC482A882E682D1BADDCCDFD7B2B1DDBD8B4B92F E646F63>

要な指示をさせることができる ( 検査 ) 第 8 条甲は乙の業務にかかる契約履行状況について作業完了後 10 日以内に検査を行うものとする ( 発生した著作権等の帰属 ) 第 9 条業務によって甲が乙に

<4D F736F F D D3188C091538AC7979D8B4B92F F292B98CF092CA81698A94816A2E646F63>

第 8 条乙は甲に対し仕様書に定める期日までに所定の成果物を検収依頼書と共に納入する 2 甲は前項に定める納入後 10 日以内に検査を行うものとする 3 検査不合格となった場合甲は

Microsoft PowerPoint - 報告書(概要).ppt

独立行政法人国立病院機構

公的年金制度について制度の持続可能性を高め将来の世代の給付水準の確保等を図るため持続可能な社会保障制度の確立を図るための改革の推進に関する法律に基づく社会経済情

<4D F736F F D AC90D1955D92E CC82CC895E DD8C D2816A2E646F63>

2 役員の報酬等の支給状況平成 27 年度年間報酬等の総額就任退任の状況役名報酬 ( 給与 ) 賞与その他 ( 内容 ) 就任退任 2,142 ( 地域手当 ) 17,205 11,580 3,311 4 月 1

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

私立大学等研究設備整備費等補助金（私立大学等

Taro-契約条項（全部）

4 乙は天災地変戦争暴動内乱法令の制定改廃輸送機関の事故その他の不可抗力により第 1 項及び第 2 項に定める業務期日までに第 1 条第 3 項の適合書を交付することができない場合は

（別紙３）保険会社向けの総合的な監督指針の一部を改正する（案）

< 現在の我が国 D&O 保険の基本的な設計 (イメージ)> < 一般的な補償の範囲の概要 > 請求の形態会社の役員会社による請求に対する損免責事由の場合に害賠償請求は補償されず(

の購入費又は賃借料 (2) 専用ポール等機器の設置工事費 (3) ケーブル設置工事費 (4) 防犯カメラの設置を示す看板等の設置費 (5) その他設置に必要な経費 ( 補助金の額 ) 第 6 条補

< F2D8AC493C CC81698EF3928D8ED2816A2E6A7464>

<4D F736F F D C482C682EA817A89BA90BF8E7793B1834B A4F8D91906C8DDE8A A>

った場合など監事の任務懈怠の場合はその程度に応じて業績勘案率を減算する (8) 役員の法人に対する特段の貢献が認められる場合はその程度に応じて業績勘案率を加算することができる

Speed突破！Premium問題集　基本書サンプル

<4D F736F F D A94BD837D836C B4B92F62E646F6378>

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>

国税クレジットカード納付の創設国税のクレジットカード納付についてはマイナンバー制度の活用による年金保険料税に係る利便性向上に関するアクションプログラム( 報告書 ) においてその導入の方向性が示されている

Microsoft Word 差替_【900】(旧69)「交代」120111CL.docx

は固定流動及び繰延に区分することとし減価償却を行うべき固定の取得又は改良に充てるための補助金等の交付を受けた場合においてはその交付を受けた金額に相当する額を長期前受金とし

当社の法人関係情報の管理態勢およびその強化に向けた今後の対応策について

平成25年度　独立行政法人日本学生支援機構の役職員の報酬・給与等について

参考様式再就者から依頼等を受けた場合の届出公平委員会委員長様年月日地方公務員法 ( 昭和 25 年法律第 261 号 ) 第 38 条の2 第 7 項規定に基づき下記のとおり届出をしますこの

- 1 - 総控負傷疾病療養産産女性責帰べ由試 ~ 8 契約契約完了ほ契約超締結専門的知識技術験専門的知識高大臣専門的知識高専門的知識締結契約満歳締結契約契約係始

PowerPoint プレゼンテーション

小売電気の登録数の推移昨年 8 月の前登録申請の受付開始以降小売電気の登録申請は着実に増加しておりこれまでに310 件を登録 (6 月 30 日時点 ) 本年 4 月の全面自由化以降申

預金を確保しつつ資金調達手段も確保する収益性を示す指標として営業利益率を採用し営業利益率の目安となる数値を公表する株主の皆様への還元については持続的な成長による配当可

ーただお課長を表示するものとする ( 第三者に対する許諾 ) 第 4 条甲は第三者に対して本契約において乙に与えた許諾と同一又は類似の許諾をすることができるこの場合において乙は甲に対して当

第２回　制度設計専門会合事務局提出資料

4 参加資格要件本提案への参加予定者は以下の条件を全て満たすこと 1 地方自治法施行令 ( 昭和 22 年政令第 16 号 ) 第 167 条の4 第 1 項各号の規定に該当しない者であること 2 会社

<4D F736F F D208ED089EF95DB8CAF89C193FC8FF38BB CC8EC091D492B28DB88C8B89CA82C982C282A282C42E646F63>

<4D F736F F D208E52979C8CA78E598BC68F5790CF91A390698F9590AC8BE08CF D6A2E646F6378>

根本確根本確民主率運民主率運確施保障確施保障自治本旨現資自治本旨現資挙管挙管代表監査教育代表監査教育警視総監道府県警察本部市町村警視総監道府県警察本部

第 8 条本協議会における研修は以下のとおりとする (1) 座学研修農業講座や先進農家視察など農業経営基礎講座やその他担い手のための研修会等への参加など年 24 回程度とする (2) 実務研

リング不能な将来減算一時差異に係る繰延税金資産について回収可能性がないものとする原則的な取扱いに対してスケジューリング不能な将来減算一時差異を回収できることを反証できる場合に原則

ていることからそれに先行する形で下請業者についても対策を講じることとしました本県としましてはそれまでの間に未加入の建設業者に加入していただきますよう 28 年 4 月から実施することとしました問 6 公共工事の

<4D F736F F D E598BC68A8897CD82CC8DC490B68B7982D18E598BC68A8893AE82CC8A C98AD682B782E993C195CA915B C98AEE82C382AD936F985E96C68B9690C582CC93C197E1915B927582CC898492B75F8E96914F955D89BF8F915F2E646F6

Taro-事務処理要綱250820

( 別紙 ) 以下法とあるのは改正法第 5 条の規定による改正後の健康保険法を指す ( 施行期日は平成 28 年 4 月 1 日 ) 1. 標準報酬月額の等級区分の追加について問 1 法改正により追加

質問票 ( 様式 3) 質問番号 62-1 質問内容鑑定評価依頼先は千葉県などは入札制度にしているが神奈川県は入札なのか?または随契なのか?その理由は? 地価調査業務は単にそれぞれの地点の鑑定

Microsoft Word 第１章　定款.doc

<6D313588EF8FE991E58A778D9191E5834B C8EAE DC58F4992F18F6F816A F990B32E786C73>

●電力自由化推進法案

大学病院治験受託手順書

（２）大学・学部・研究科等の理念・目的が、大学構成員（教職員および学生）に周知され、社会に公表されているか

厚生年金基金制度の概要公的年金たる厚生年金の一部を国に代わって支給 ( 代行給付 )しており当該支給を行うための費用として事業主から保険料を徴収している加えて各基金ごとに上乗せ

( 補助金等交付決定通知に加える条件 ) 第 7 条市長は交付規則第 11 条に規定するところにより補助金の交付決定に際し次に掲げる条件を付するものとする (1) 事業完了後に消費税及び

ができます 4. 対象取引の範囲第 1 項のポイント付与の具体的な条件対象取引自体の条件は各加盟店が定めます 5.ポイントサービスの利用終了その他いかなる理由によっても付与されたポイントを換金すること

Microsoft Word 役員選挙規程.doc

第4回税制調査会　総4-1

2. 会計規程の業務 (1) 規程と実際の業務の調査規程や運用方針に規定されている業務 ( 帳票 )が実際に行われているか( 作成されているか)どうかについて調べてみた以下の表は規程の条項とそこに

3. 選任固定資産評価員は固定資産の評価に関する知識及び経験を有する者のうちから市町村長が当該市町村の議会の同意を得て選任する二以上の市町村の長は当該市町村の議

平成27年度大学改革推進等補助金（大学改革推進事業）交付申請書等作成・提出要領

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>

弁護士報酬規定（抜粋）

Microsoft Word - 03.大和高田市仕様書　介護認定業務委託　H２７

Microsoft Word - ★ＨＰ版平成２７年度検査の結果

4 承認コミュニティ組織は市長若しくはその委任を受けた者又は監査委員の監査に応じなければならない ( 状況報告 ) 第 7 条承認コミュニティ組織は市長が必要と認めるときは交付金事業の遂行の

学校教育法等の一部を改正する法律の施行に伴う文部科学省関係省令の整備に関する省令等について（通知）

【労働保険事務組合事務処理規約】

定款　　変更

平成 27 年 11 月 ~ 平成 28 年 4 月に公開の対象となった専門協議等における各専門委員等の寄附金契約金等の受取状況審査 ( 別紙 ) 専門協議等の件数専門委員数 500 万円超の受

Microsoft Word 行革PF法案-0概要

学校法人日本医科大学利益相反マネジメント規程

入札参加者は入札の執行完了に至るまではいつでも入札を辞退することができこれを理由として以降の指名等において不利益な取扱いを受けることはない 12 入札保証金免除 13 契約保証金免除 14 入

為が行われるおそれがある場合に都道府県公安委員会がその指定暴力団等を特定抗争指定暴力団等として指定しその所属する指定暴力団員が警戒区域内において暴力団の事務所を新たに設

(6) 事務局職場積立 NISAの運営に係る以下の事務等を担当する事業主等の組織 ( 当該事務を代行する組織を含む )をいうイ利用者からの諸届出受付事務ロ利用者への諸連絡事務

しかし主に欧州の一部の回答者は受託責任について資源配分の意思決定の有用性とは独立の財務報告の目的とすべきであると回答した本 ED に対する ASBJ のコメントレターにおける意見経営者の受

土購入土借用土所有権移転登記確約書農転用許可書 ( 写 ) 農転用届出受理書 ( 写 ) 土不動産価格評価書土見積書 ( 写 ) 又は売買確約書 ( 写 ) 土売主印鑑登録証明書売主

高松市緊急輸送道路沿道建築物耐震改修等事業補助金交付要綱（案）

プライバシーマーク付与適格性審査業務基本規程改廃履歴版数制定改定日改訂箇所改訂理由備考年 8 月 26 日初版制定年 7 月 1 日 JIPDEC プライバシーマーク制度基本

社会保険の加入に関する下請指導ガイドラインの改訂等について

Microsoft PowerPoint - 経営事項審査.ppt

< F2D E633368D86816A89EF8C768E9696B18EE688B5>

一般競争入札について

独立行政法人国立病院機構呉医療センター医療機器安全管理規程

社会保険の加入に関する下請指導ガイドライン(2/2) (6) 施工体制台帳の作成を要しない工事における取扱い建設工事の施工に係る下請企業の社会保険の加入状況及び各作業員の保

別紙第号高知県立学校授業料等徴収条例の一部を改正する条例議案高知県立学校授業料等徴収条例の一部を改正する条例を次のように定める平成 26 年 2 月日提出高知県知事尾

している 5. これに対して親会社の持分変動による差額を資本剰余金として処理した結果資本剰余金残高が負の値となるような場合の取扱いの明確化を求めるコメントが複数寄せられた 6. コメントでは親

< E95FB8CF689638AE98BC689FC90B390A CC8CA992BC82B582C982C282A282C E90E096BE8E9E8E9197BF2E786477>

ア調整テーマ別分科会 (3テーマ程度各 4か月に1 回程度 ) 予定テーマ (ア) 鎮守大橋周辺地区 (イ) 内海橋周辺地区 (ウ) 工事車両交通対策 2 トータルマネジメント支援業務復興事業等の円滑な

6 構造等コンクリートブロック造平屋建て4 戸長屋 16 棟 64 戸建築年 1 戸当床面積棟数住戸改善後床面積昭和 42 年 36.00m m2 昭和 43 年 36.50m m2 昭和 44 年 36.

1 書誌作成機能 (NACSIS-CAT)の軽量化合理化電子情報資源への適切な対応のための資源 ( 人的資源,システム資源, 経費を含む) の確保のために, 書誌作成と書誌管理作業の軽量化を図

<6E32355F8D918DDB8BA697CD8BE28D C8EAE312E786C73>

パソコン賃貸借契約

募集新株予約権（有償ストック・オプション）の発行に関するお知らせ

<4D F736F F D F936F985E8C9A927A95A892B28DB88B408AD68BC696B18B4B92F E646F63>

・モニター広告運営事業仕様書

Transcription:

プロジェクトに潜む情報漏えいリスク発見アプローチとうばるはるな桃原春奈 [ 略歴 ] 2010 年コベルコシステム株式会社入社現在技術品質統括部業務品質向上推進グループシステム経験年数 4 年たかはししげみつ髙橋重光 [ 略歴 ] 1995 年日本アイビーエム株式会社入社 2009 年コベルコシステム株式会社現在技術品質統括部業務品質向上推進グループシステム経験年数 19 年原稿量本文要約図表 13,500 字 1,200 字 15 枚 1

< 要約 > コベルコシステム( 以下当社 )はお客様の情報システムを構築保守運用するITサービスをプロジェクト単位で提供している当社ではプロジェクトのQ( 品質 ) C(コスト) D( 納期 ) 管理に加え 2009 年からPSP(Project Security Process)によるセキュリティ管理を推進強化してきた 2014 年 7 月ベネッセにおいて約 3,504 万件の個人情報が漏えいする事故が発生したのは皆さんも記憶に新しいと思うベネッセの情報漏えいではそのサービスを利用している個人から指摘されるまで社外に個人情報が漏えいした事実に気づかなかったことが問題である一方個人情報漏えいの原因は管理ミス誤操作紛失置忘れのヒューマンエラーで約 90%を占めると言われている(NPO 日本ネットワークセキュリティ協会の調査報告書より) 情報漏えいリスクとは情報漏えい発生時の影響または情報漏えいを引き起こす可能性があることであるまた情報漏えいは必ず起こることを前提としたリスク管理が重要となるそこで筆者は情報漏えいリスクの早期発見が注力すべき課題であると考えた本論文では当社のセキュリティ管理手法であるPSPを中心にプロジェクトに潜む情報漏えいリスクを早期に発見するための工夫考慮点について述べる具体的には契約書プロジェクト組織の各観点におけるリスク発見とその限界を整理するとともにプロジェクト単位で実践するリスク発見アプローチとして以下の7つのステップに体系化した 1 契約書の確認 2 セキュリティリスクの把握 3 業務上の必要性確認 4 お客様への報告 5 日常的モニタリング 6 独立的評価 7 24 時間以内に報告 2011 年にリスク発見アプローチを開始した当初 1プロジェクトあたりで発見できた平均リスク数は約 2 件であった当時を振り返ってみると発見すべきリスクに漏れがあったのである 2014 年 11 月現在各プロジェクトにおいて平均にして6 件近くのリスクを発見できていることはリスク発見アプローチが有効に機能している結果と考えている本事例では情報漏えいリスクの早期発見という課題を解決するために時間とコストをかけずに実施できる大まかなリスク範囲を把握した上で重点領域を確認する方法を採用した大まかなリスク範囲を把握するための基準として個人情報の取り扱い機密情報の取り扱い本番環境アクセスをセキュリティリスクと定義した更にセキュリティリスクの組み合わせによって必要な対応策を特定できるノウハウをチェックシート化したことでリスクの早期発見を実現している現在情報システムを構築保守運用するプロジェクトの当事者でプロジェクトに潜む情報漏えいリスクを早期発見したい企業において本論文のアプローチが一助となれば幸いである 2

目次 1.はじめに... 5 2.リスク早期発見の重要性と方法論... 6 2.1 情報漏えいリスク発見の重要性... 6 2.1.1 情報漏えいリスクとは... 6 2.1.2 ベネッセの情報漏えいを振り返る... 6 2.2 情報漏えいリスク発見の方法論... 7 2.2.1 リスク範囲の把握... 7 2.2.2 リスク発見手段... 7 3. 契約書によるリスク発見... 8 3.1 契約書の重要性... 8 3.2 契約書の読み方... 8 3.2.1 契約書で確認すべき観点... 8 3.2.2 業務委託契約書の具体例... 9 3.3 契約書によるリスク発見の限界... 10 4.プロジェクトにおけるリスク発見... 10 4.1 セキュリティリスクの把握... 10 4.1.1 セキュリティリスクとは... 10 4.1.2 チェックシートによる自動判定... 11 4.2 業務上の必要性確認... 11 4.2.1 プロジェクト着任離任時の対応... 11 4.2.2 ユーザーID/アクセス権管理... 12 4.2.3 職務権限分離... 13 4.2.4 一連の流れによる網羅的な確認... 13 4.3 お客様への報告... 14 4.4 プロジェクトにおけるリスク発見の限界... 15 5. 組織におけるリスク発見... 15 5.1 業務に組み込んで行う日常的モニタリング... 15 5.1.1 SMEレビューによる包括的な点検... 15 5.1.2 月次報告によるマネジメントレビュー... 15 5.1.3 SMEレビューでの指摘事項フォロー... 16 5.2 業務から独立した視点で行う独立的評価... 16 5.2.1 経営幹部によるマネジメントレビュー... 16 5.2.2 二段構えの内部監査... 16 5.3 当事者からの 24 時間以内報告... 17 3

5.4 組織におけるリスク発見の限界... 18 6.リスク発見アプローチの有効性... 19 6.1 リスクを発見するための7つのステップ... 19 6.2 リスク発見アプローチの評価... 20 6.3 今後の課題... 21 7.おわりに... 21 4

1.はじめにコベルコシステム( 以下当社 )はお客様の情報システムを構築保守運用するITサービスをプロジェクト単位で提供している当社ではプロジェクトのQ( 品質 ) C(コスト) D( 納期 ) 管理に加え 2009 年からPSP(Project Security Process)によるセキュリティ管理を推進強化してきた PSPとはプロジェクトごとにセキュリティリスク( 個人情報の取り扱い機密情報の取り扱い本番環境アクセス)を把握した上でお客様とリスクを共有し対応策を実施していくセキュリティ管理手法である 1 2014 年 7 月株式会社ベネッセコーポレーション( 以下ベネッセ)において約 3,504 万件の個人情報が漏えいする事故 2 ( 以下ベネッセの情報漏えい)が発生したのは皆さんも記憶に新しいと思うベネッセのグループ会社 ( 当社からみて同業他社 )の再委託先社員が個人情報を不正に持ち出し名簿業者に売却したとのことだが筆者及び筆者の家族のもとにもお詫びの書状が届きもはや他人事ではなくなったベネッセの情報漏えいではそのサービスを利用している個人から指摘されるまで社外に個人情報が漏えいしていた事実に気づかなかったことが問題である一方 NPO 日本ネットワークセキュリティ協会の2012 年情報セキュリティインシデントに関する調査報告書 3 によると個人情報漏えいインシデントの漏えい原因は図 1に示すとおり管理ミス誤操作紛失置忘れで約 90%を占めているこれらの原因がヒューマンエラーである限りどのような対応策を講じても情報漏えいが発生する可能性は残る図 1.2012 年の個人情報漏えい原因比率 ( 件数 ) 3 情報漏えいは必ず起こることを前提としたリスク管理が重要となるため筆者は情報漏えいリスクの早期発見が注力すべき課題であると考えた本論文では当社のセキュリティ管理手法であるPSPを中心にプロジェクトに潜む情報漏えいリスクを早期に発見するための工夫考慮点について述べる 5

2.リスク早期発見の重要性と方法論 2.1 情報漏えいリスク発見の重要性 2.1.1 情報漏えいリスクとは情報漏えいとは企業活動の中で蓄積された個人情報や技術情報など一般に公表されていない企業内情報が過失故意に関わらず外部へ流出する事象である主な例として社員によってお客様情報が不正に売却されたことによる個人情報漏えい退職者によって製品情報が競合他社へ不正に持ち出されたことによる技術情報漏えいなどがある情報漏えいリスクとは情報漏えい発生時の影響または情報漏えいを引き起こす可能性があることである一方企業は自社では発生しないだろう自社の社員は不正行為をしないだろうとリスクを軽視する傾向があると筆者は考えているしかしひとたび情報漏えいが発生するとお客様や取引先への補償または損害賠償企業価値の減少という被害が発生するその他にもリスク対応策を実施していれば不要であった事故の原因究明や問い合わせ窓口の設置セキュリティ対応などに時間とコストがかかってしまうこのことからも事件事故が発生する前に情報漏えいリスクを発見し早い段階で対応策を講じることが重要であることがわかる 2.1.2 ベネッセの情報漏えいを振り返るベネッセの情報漏えい発生を受けベネッセの親会社である株式会社ベネッセホールディングスは外部の専門家らで構成した事故調査委員会を設置した当該委員会は情報漏えいに関する事実原因などの調査及び調査結果を踏まえた再発防止策などの提言を実施したここで調査結果の報告内容を元にベネッセの情報漏えい発生前後の対応策を図 2のとおり整理して比較してみた発生前入退室管理 / 入口の監視カメラ社員への定期教育実施委託業務従事者への事前年次のセキュリティ研修 PCのネットワークへの操作ログ記録 PCからスマートフォンの書き出し制御アクセス権の管理 ( 定期見直し不十分 ) データ大量ダウンロードのアラート( 一部 ) 既存改善強化調査補償発生後入退室管理 / 入口の監視カメラ社員への定期教育実施委託業務従事者への事前年次のセキュリティ研修 PCのネットワークへの操作ログ記録 PCにおける外部メディアの認識不可設定アクセス権の棚卸し/パスワードの定期更新データ大量ダウンロードのアラート( 全データベース) データベースの個人情報を利用目的別にマスキング個人情報を扱うシステムの業務委託禁止アクセス通信ログのモニタリングデータベース通信ログのモニタリング社内 PCのローカルでの業務データ有無自動検索監査担当者による定期監査データベース保守運用会社の設置調査機関設置警察への調査協力個人情報のオプトアウト消去対応専用お客様窓口の設置お客様への個別対応情報漏えいしたお客様への補償図 2.ベネッセの情報漏えい発生前後の対応策比較 6

情報漏えい発生前の対応策はアクセス権管理が不十分データ大量ダウンロードのアラート機能の対象範囲漏れなど個人情報を扱う企業としてはもう一歩踏みこんだ対応策が必要であった印象を受けるまた情報漏えい発生後の対応策についてもシステム投資や保守運用新会社設立など物理的セキュリティ強化に重きを置いているように思われるベネッセの情報漏えいはリスクの発見が遅れた結果補償企業イメージ回復に時間とコストをかけている事例である 2.2 情報漏えいリスク発見の方法論 2.2.1 リスク範囲の把握情報漏えいリスクは事件事故により初めて潜んでいたリスクが表面化する専門家による調査を実施しないと発見できないと思いがちだがそうではない当事者自身が意識することでプロジェクトや業務に潜むリスクを事前に発見しリスク軽減の対応策を実施することができる筆者はリスクを発見する方法として 2つあると考えている 1つ目はすべての範囲を確認するために 1つずつリスクを把握する方法であるこの方法は漏れなくリスクを発見できるが確認するために時間とコストがかかりリスクの発見が遅れてしまう可能性がある 2つ目は大まかなリスク範囲を把握したのち特定範囲のリスクを確認する方法であるこの方法は時間とコストをかけずに確認することができるが絞り込む範囲が適切でない場合発見するリスクが漏れてしまう可能性があるリスクを早期に発見するにはいかに時間とコストをかけずに実施できるかがポイントになるため大まかなリスク範囲を把握した上で重点領域を確認する方法が望ましい更にリスク発見の漏れを少なくするために絞り込む基準を正確でわかりやすくすることが重要と考える 2.2.2 リスク発見手段リスクを発見する手段としてはチェックシートやアンケートログ分析などがあるしかし確認する対象範囲や確認のレベルによって一長一短であるここで一般的なリスク発見手段についてその内容とメリット/デメリットを表 1にまとめた表 1. 一般的なリスク発見手段発見手段内容メリット/デメリットチェックシート事前に用意したチェック項目を確認する理解しやすく短時間で効率的に確認できるチェック項目から漏れた範囲はわからないアンケート用意した設問に対し回答してもらい集計分析する多様かつ広い範囲で確認できる集計分析に時間がかかり判断尺度が難しいログ分析関連する記録の照合や結果をデータまで遡る正確性を担保できる記録の蓄積が必要で分析に時間がかかる文書レビュー状況把握や内容確認のため関連文書や資料などを確認する網羅的に関連性を確認できる確認する資料が膨大になる可能性があるインタビュー状況把握や内容確認のため質疑応答形式で直接確認する言葉だけでなく反応や表情まで確認できるインタビューアーの質に左右される 7

採用するリスク発見手段によって必要な時間とコストが変わってくるがリスクを早期発見するためには複数の手段を組み合わせて実施していくことが効果的であると筆者は考えている 3. 契約書によるリスク発見 3.1 契約書の重要性契約とは当事者の意思表示の合致によって成立する法律行為であるそして契約書とは当事者の意思の合致を証するために作成される文書である具体的に契約書には契約形態や著作権支払条件などについて明記されているが情報漏えいリスクに関しても以下の事項が書かれているプロジェクトの前提条件やお客様要件契約違反に伴う罰則事件事故発生時の損害賠償プロジェクトの前提条件やお客様要件には個人情報の取り扱いや機密情報の取り扱いなどが明確になっており当事者が重視するリスク範囲を把握することができるしかし業務で取り扱う情報と契約内容に差異がある場合や役割分担などが不明確な状態ではじゅうぶんなリスク対応策を実施できない可能性がある一方契約違反に伴う罰則や事件事故発生時の損害賠償については情報漏えいが発生した際の影響の大きさを測ることができる 3.2 契約書の読み方 3.2.1 契約書で確認すべき観点プロジェクトの現場においてプロジェクトマネージャー( 以下 PM)は表 2に示すとおり少なくとも取り扱う情報とプロジェクト作業の2つの観点で契約書を確認する必要があるまず取り扱う情報について機密情報などの定義や情報の開示範囲を確認することで管理すべき情報の範囲とリスクの大きさを把握できるつぎにプロジェクト作業について対象システムや本番環境の運用責任などを確認することでプロジェクト作業により発生するリスクの把握とリスク対応策の絞り込みができる表 2. 契約書で確認すべき観点確認すべき観点確認項目例取り扱う情報個人情報の取り扱い個人情報取り扱いに関する契約書などを取り交わしているか情報を開示するための様式 ( 開示通知書 )は指定されているか機密情報の取り扱い機密保持契約書などを取り交わしているか機密情報の定義 ( 見聞きしたものすべて/ 開示通知書で指定 ) 第三者への資料開示プロジェクトで作成した資料はメンバー以外に開示してよいか第三者へ開示する際の報告形式は指定されているかプロジェクト作業対象範囲対象システム/アプリケーションは明記されているか作業場所や業務で使用する機器は指定されているか役割分担本番環境の更新はどこが担当するか環境 ( 本番環境テスト環境開発環境 )の運用責任はどこかお客様要件お客様のセキュリティポリシーは明示されているかお客様施設や貸与 PCなどお客様資産の使用に関する取り決め 8

契約書を確認した結果契約内容と実態に差異がある場合は当事者間で別途調整が必要であるまた契約内容と実態に差異がない場合においても当事者間で認識違いがないか再確認することが望ましい 3.2.2 業務委託契約書の具体例 ITサービスでよく使用される契約書の一つに業務委託契約書がある業務委託契約書では委託する特定の業務内容が記載されているだけでなく業務でやり取りする情報の取り扱いも明記されている図 3は業務委託契約書のうち機密情報の取り扱いと再委託に関する条項の例である第条 ( 秘密保持 ) 1. 乙は本契約の履行にあたり甲が秘密である旨明示して開示する情報及び本契約の履行により生じる情報 ( 以下秘密情報という )を秘密として取扱い次項に定める場合を除き甲の事前の書面による承諾なく第三者に開示してはならないただし乙が書面によってその根拠を立証できる場合に限り以下の情報は秘密情報の対象外とするものとする 1 開示を受けたときに既に乙が保有していた情報 2 開示を受けた後秘密保持義務を負うことなく第三者から正当に入手した情報 3 開示を受けた後相手方から開示を受けた情報に関係なく乙が独自に取得し又は創出した情報 4 開示を受けたときに既に公知であった情報 5 開示を受けた後乙の責に帰し得ない事由により公知となった情報 2. 甲又は乙は法令により前項に規定する秘密情報の開示が義務づけられた場合には事前に相手方に通知し開示につき可能な限り相手方の指示に従うものとする 3. 甲が乙に秘密である旨指定して開示する情報は別紙の通りであるなお別紙は甲乙協力し常に最新の状態を保つべく適切に更新するものとする 4. 乙は甲より開示された秘密情報の管理につき乙が保有する他の情報や記録媒体等と明確に区別して適切に管理する第条 ( 再委託 ) 1. 乙は甲の事前の書面による承諾を得ずに本業務の全部又は一部を第三者へ再委託してはならない 2. 前項の事前の書面による承諾に基づき本業務を再委託する場合乙は自己が負う義務と同等の義務を再委託先に対して書面にて課すとともに甲に対して再委託先に当該義務を課した旨を書面により報告しかつ乙は当該秘密情報の開示に伴う責任を負うものとする 3. 前項に加え乙は再委託先から次の各号の承諾を得なければならないまた乙は当該承諾を得た旨を甲に書面で報告する 1 事故発生時には直ちに甲に対しても通知すること 2 事故再発防止策を協議する際には甲の参加も認めること 3 再委託先における秘密情報の具体的管理状況の報告は甲の閲覧も可とすること図 3. 業務委託契約書の具体例 5 機密情報の定義は秘密である旨明示して開示する情報のようにできる限り具体的に明記することが望ましいしかし直接間接に関わらず知り得た一切の情報など広い範囲で機密情報の範囲を定義されることもありその場合は取り扱うすべての情報に注意をはらう必要があるこのように契約書で定義されている内容によってリスクの範囲対応策が決まってくるそして前述した確認すべき観点を意識して契約書を読むことでリスクを発見していくことができる一方当事者間の関係や提供するサービスによっては双方調印形式の契約書を締結せず注文書 / 注文請書見積書でやり取りすることもある当事者間における意思の合致を残すという観点では注文書 / 注文請書見積書も契約書と同じ効力をもつ 9

3.3 契約書によるリスク発見の限界契約書によるリスク発見はプロジェクトの当事者が契約書を読むことから始まる特に最悪の事態を想定しながら契約書を読むことで当事者が重視すべきリスク範囲を把握できるまた情報漏えいが発生した際の影響の大きさを測ることができる一方プロジェクトの場合実務的に契約書を作成締結する者 ( 営業 )と実際に契約を履行する当事者 (PM 及びプロジェクトメンバー)は異なっていることが多く契約内容に対する認識違いも発生しやすい更に契約内容は契約時点における協議結果をまとめた想定であるため契約時点では明確にできない実現性により書面で表現できないなどすべての事象を網羅できない可能性があるそのため契約を履行していく中で契約書で明記されていないまたは実態と乖離しているリスクを発見した際は当事者間で認識を合わせることが重要となってくる契約書によるリスク発見はプロジェクトの前提条件やお客様要件を確認する観点では有効であるものの契約書には記述がない具体的な対応策に関連するリスクまでは発見することができない 4.プロジェクトにおけるリスク発見 4.1 セキュリティリスクの把握 4.1.1 セキュリティリスクとは当社では大まかなリスク範囲を把握するための基準として個人情報の取り扱い機密情報の取り扱い本番環境アクセスをセキュリティリスクと定義している図 4はセキュリティリスクの組み合わせ( 取り扱う情報の有無とアクセス環境の違い)によって必要な対応策が変わることを整理したものであるまずはプロジェクトにおける必要な対応策を特定するためにセキュリティリスクを把握することが重要となる取り扱う情報アクセス環境個人情報 / 機密情報なしなし開発環境テスト環境 / 本番環境プロジェクト着任離任時の対応アプリケーション一覧表ユーザーID/アクセス権管理職務権限分離本番更新管理プロジェクト情報管理台帳プロジェクト着任離任時の対応個人情報 / 機密情報ありアプリケーション一覧表ユーザーID/アクセス権管理職務権限分離本番更新管理 /データコピー対応図 4.セキュリティリスクと必要な対応策 10

4.1.2 チェックシートによる自動判定セキュリティリスクと必要な対応策をPMが短時間で効率よく把握できるように当社では図 5 に示すセキュリティリスクチェックシート( 以下 SRC)を採用している具体的には取り扱う情報やプロジェクト作業に関する設問に答えていくとプロジェクトが保有するセキュリティリスクと必要な対応策が自動的に総合判定される総合判定コスト計画反映セキュリティリスクプロジェクトコストにセキュ個人情報の取扱有リティ管理コスト 5 を織り込みましたか? Yes 機密情報の取扱無本番環境アクセス有 5 :シート[PSP 標準作業 TRUE 時間 ] 参照 On/Off Boardingチェック必要 [5 章 ] 必要な対応策ユーサーIDリスト(ACL) 作成必要 [6 章 ] アプリケーション一覧表必要 [2 章 ] プロジェクトWPSチェック必要 [10 章 ] SODマトリックス作成必要 [9 章 ] 作業スケジュール必要 [13 章 ] プロジェクト情報管理台帳必要 [3 章 ] 本番データコピー対応必要 [8 章 ] アクセス権管理必要 [6 章 ] 本番更新管理不要 [7 章 ] リスク管理必要 [11 章 ] インシデント対応必要 [12 章 ] 図 5.SRCによる必要な対応策の自動判定 1 一方 SRCの提出確認作業はワークフロー機能を実装したPSP 管理 DBを使用して効率よく一元管理している更に毎月全プロジェクトでのセキュリティリスク保有状況を集計把握することで経営上の問題やリスクがないかを組織全体として評価している 4.2 業務上の必要性確認プロジェクトにおける作業はすべて業務上の必要性にもとづいていなければならないこのことから作業に不必要な状況や無関係な状態を発見していくことが重要となる 4.2.1 プロジェクト着任離任時の対応プロジェクトに参加するすべてのプロジェクトメンバーはまずプロジェクト固有説明会を受講しているこの説明会により取り扱う情報の重要性やセキュリティに関する遵守事項を理解することになるつぎに図 6に示す着任離任時チェックシートにて着任時に実施しなければならない項目を漏れなく実施したことを確認している離任時も同様に貸与物や情報の返却ユーザーID の削除などの実施を確実に行うため着任離任時チェックシートにて確認している 11

着任したメンバー情報を記載再委託先社員の場合所属部署名に会社名を記入すべて重要な項目いいえ N/Aとなった項目は必ず改善策や理由を記入上記チェック完了後着任者は本人欄に署名もしくは捺印を行い実施日を記入 PMは内容を確認し確認者欄に署名もしくは捺印を行い確認日を記入図 6. 着任離任時チェックシートの具体例着任離任時の確認は情報漏えいリスクを軽減するために不可欠な対応である 4.2.2 ユーザーID/アクセス権管理適切にユーザーID/アクセス権を管理することは事件事故発生時の使用者の特定あるいはプロジェクトメンバーにおけるアクセス権の健全性を担保する当社ではリスクを軽減できる有効な手段として下記のような基本方針を定めてユーザーIDやアクセス権を付与している業務を遂行する上で最小限のアクセス権とする( 必要以上の権限を持たない) 本番環境で更新権限以上のアクセス権を極力使用しない本番環境で恒久的なアクセス権は極力使用しない共用 IDの使用は原則禁止する共用 IDは原則委託元と委託先で同じIDを使用しない UNIX 系 OSで root 権限ユーザーからのsuは禁止するまた付与したユーザーIDやアクセス権はユーザーIDリストを作成し誰がどのシステムに対してどのような権限のユーザーIDを使用している(していた)かについて管理する現実にはお客様ごとにセキュリティポリシーが異なるシステム環境の持ち方が違うお客様の要望による共用 ID 使用などにより基本方針とおりにならないこともあるプロジェクトでは基本方針に従えない部分をリスクとして認識しお客様と適時にリスクを共有している 12

4.2.3 職務権限分離職務権限分離は会社の資産の誤用悪用流用を許すような責任や権限を同一個人に与えないことによる内部統制を目的としている職務権限分離のために重要な作業が権限矛盾分析である権限矛盾分析では複数作業に対し責任や権限を同一個人に与えることによって発生するリスクを軽減し権限矛盾が見つかれば二次管理 (ログ分析などリスクを軽減するための代替策 )を行うことを定義して予防的管理を行う具体的にはアプリケーション単位に権限矛盾分析マトリックスを用いて下記の観点を考慮し役割体制を確立する同一個人が複数のお客様環境へアクセスしない ( 開発環境と本番環境テスト環境と本番環境など) 同一個人が職務権限分離の目的に合致しない作業を実施しない ( 開発担当者が本番環境への移行を実施するなど) プロジェクトでは誰がどの作業を行うのかを表した体制表や誰がシステムにどのようなアクセス権限を持っているかを示すユーザーIDリストを使用して役割とアクセス権の両面から分析している更に本来の役割だけでなく付与されているアクセス権で実施可能な作業という観点でも分析を実施することで誤用悪用流用といったリスクを軽減している 4.2.4 一連の流れによる網羅的な確認プロジェクト着任離任時の対応ユーザーID/アクセス権管理職務権限分離の各対応策は図 7に示す一連の流れに沿って網羅的に確認することで作業に不必要な状況や無関係な状態を発見しやすくなる契約書 / 注文書 / 見積書取扱情報プロジェクト情報管理台帳プロジェクト着任離任時の対応対象範囲プロジェクト固有説明会ユーザーID/アクセス権管理アプリケーション一覧表各種ユーザーID 申請書元情報ユーザーID リスト着任離任時チェックシート職務権限分離役割アクセス権権限矛盾分析マトリックス元情報プロジェクトメンバー一覧図 7. 業務上の必要性を確認する一連の流れ 13

例えば下記のような観点から問題点やリスクがないか確認するとよい実際の作業場所とプロジェクトメンバー数は契約内容と矛盾がないかユーザーIDやアクセス権の付与がプロジェクト固有説明会の実施日以降であるかプロジェクトメンバー一覧上の着任者以外がユーザーIDリストに存在しないかプロジェクトメンバー一覧上の離任者はユーザーIDリストで無効化されているかアプリケーション一覧表のアプリケーションごとにユーザーIDリストを管理しているかアプリケーション一覧表のアプリケーションごとに権限矛盾分析をしているか付与されているアクセス権で実施可能な作業という観点で権限矛盾分析をしているか 4.3 お客様への報告プロジェクトではプロジェクトを実施する過程で発見したリスクについて図 8に示すリスク一覧表に記入してリスクの回避 / 緩和策 (アクション)を検討している更にお客様と共有すべきリスクについてはその管理状況と合わせて都度お客様に報告を行いリスクを共有しているお客様への報告ではアクションの対応可否を具体的に協議するとともにアクションを対応した後に残る懸念事項 ( 残存リスク)についても確認しているなおお客様とリスクを共有した際下記の実施記録を残すことが重要であるお客様ご説明資料 (リスクに関連する資料リスク一覧表など) お客様との議事録 ( 出席者一覧コメントなど) お客様に議事録の確認をお願いした記録 ( 確認依頼メールなど) 議事録の確認依頼に対するお客様の回答 ( 確認依頼メールへの返答など) No 分類リスク内容発生日発見者 1 お客様へアプリケーション一覧表についておの確認客様への確認が実施できていないため作業範囲と合致していない可能性がありデータ漏えいの可能性が高まる 2 必要以上の権限 3 共用 IDの使用 4 パスワード変更 5 職務権限分離開発担当者が本番環境で更新権限のあるユーザーIDを常時使用しているため開発テスト環境と本番環境の取り違えなどによる誤操作により本番環境のプログラムやデータが変更 / 削除されてしまう可能性がある事象は具体的に記入本番環境で共用 IDを使用しているため作業を実施した個人の特定ができずお客様要求のないシステム変更やデータ漏えいが発生する可能性が高まる共用 IDのパスワードが共用 ID 利用者の離任都度変更できていないため不正使用される可能性がある内部設計プログラミング作業担当者と本番移行作業の実施および本番環境プログラムコードへの更新本番データ更新の実施および本番環境データパラメータまたはDB 構造の更新およびバッチジョブの実行担当者が重複しているためプログラム及びデータの改ざんや情報漏えいが発見されないリスクが高まるリスクレベル回避 / 緩和策 (アクション) 2011/12/12 神戸太郎 H アプリケーション一覧表をお客様に確認して頂き内容に問題がなければお客様に署名または捺印して頂く 2012/02/02 神戸太郎 M 貸出 IDに変更できるものを洗い出し可能なものは速やかに貸出 IDに切り替え常時使用しないアクセス可能者は必要最小限にとどめるアクセス可能者はACLにて常に把握し不要になれば速やかにIDを削除する本番環境と開発テスト環境のユーザーID パスワードを別な物に変更し取り違えを防ぐ 2012/03/03 神戸太郎 M 個人 IDに変更できるものを洗い出し可能なものは速やかに個人 IDに切り替える共用 IDのまま運用する場合共用 IDの使用者毎の利用状況を記録する 2012/03/03 神戸太郎 M 共用 IDのパスワードは定期的 (3ヶ月毎 )に変更を実施する 2012/05/10 神戸太郎 M 現在のメンバー数作業量に鑑み現状の運用を続ける実施責任者実施期限状況 /コメントクローズ日神戸太郎 2012/01/31 次月報告会で確認して頂く予定神戸太郎 2012/02/28 次月報告会にて説明予定貸出 IDはお客様にとっても負担となる可能性があるためそのことも含めて説明する神戸太郎 2012/03/31 次月報告会にて説明予定共用 IDについてはシステム制約上どうしても避けられない部分が発生する神戸太郎 2012/03/31 次月報告会にて説明予定対応結果 / 残存リスク 2012/01/27 内容に問題はなくお客様に署名を頂いた (2012/1/27) 残存リスク:なし 2012/02/25 2 月度月次報告会にてお客様にリスクと緩和策および残存リスクを説明 (2012/02/25) 残存リスク: 引き続き開発担当者が本番環境で更新権限のあるユーザーIDを常時使用するが緩和策を実施することによりリスクは限定的と考える一つの回避 / 緩和策でリスク軽減が不十分な場合は追加の回避 / 緩和策を講じる残存リスク( 対応後の懸念事項 )があれば明記 2012/03/26 3 月度月次報告会にてお客様にリスクと緩和策および残存リスクを説明 (2012/03/26) 2012 年 3 月 15 日に個人 IDに変更可能なものは個人 IDに変更済み残存リスク: 緩和策を実施することによりリスクは限定的と考える 2012/03/26 3 月度月次報告会にてお客様にリスクと緩和策および残存リスクを説明 (2012/03/26) 残存リスク: 離任者が意図的に共用 IDを使用した場合は最大 3ヶ月アクセスが可能となる神戸太郎 2012/05/31 お客様にリスクを説明して現状の運用に理解を頂く残存リスク: 現状のリスクと同じクローズしていないリスクは想定される残存リスクを記入図 8.リスク一覧表の具体例 14

4.4 プロジェクトにおけるリスク発見の限界プロジェクトにおけるリスク発見はプロジェクトの当事者が業務上の必要性にもとづいて確認実施するため具体的な対応策に関連するリスクを適時に発見できるまた発見したリスクとその管理状況についてもお客様へ報告することで適時にリスクを共有できる今までの実績からプロジェクトの経験知識があるPMはプロジェクト全体を見渡し業務上の必要性を一連の流れに沿って網羅的に確認できていることが多い一方プロジェクトの経験が浅いPMはプロジェクト全体をつかまず各対応策の実施のみに集中する傾向があるため適時にリスクを発見共有できていないことが多いプロジェクトにおけるリスク発見の力量は PMの経験によって左右する特に初めてセキュリティ管理を実施するPMは大局的な見方ができていないため潜在的なリスクは発見されないままとなる 5. 組織におけるリスク発見 5.1 業務に組み込んで行う日常的モニタリング業務に組み込んで行う点検やレビューは日常の運用状況を確認するために有効であるとともに発見された問題点やリスクに対して適時適切な対応をとっていくことが可能となる 5.1.1 SMEレビューによる包括的な点検当社ではプロジェクトセキュリティ管理の実施を支援する専門家として SME(Subject Matter Expert)を配置しているそしてリスク有無と規模を考慮して SRCのセキュリティリスクが有かつ契約の平均月額が 50 万円以上のプロジェクトを対象にSMEによるレビューを半年ごとに実施している SMEレビューでは PMがプロジェクトで実施すべき対応策を適切に導入し運用しているかを確認する具体的には契約書からセキュリティ管理資料までを包括的に点検することで不備不足不整合の指摘を行いプロジェクトに潜んでいるリスクを発見していく更に発見したリスクについては SMEがアクションの立案や指導を行いリスク軽減に努めているなお新しいセキュリティ要件が追加された時はプロジェクトでは気づかないこともあるため SMEは当該レビューの中でリスクを説明し PMを指導する役割も担っている 5.1.2 月次報告によるマネジメントレビュー月次報告とは PMが記入した報告書を所属長が翌月の月初 5 労働日までに承認するマネジメントレビューであるまた SMEがレビューしたプロジェクトについては所属長の承認後 SMEが下記の観点で各作業の実施完了及び実施結果の確認を行っている当月に実施するべきすべてのセキュリティ管理の資料が揃っているかすべてのセキュリティ管理の資料は事実と一致しており漏れや間違いがないか月次報告の確認で問題点やリスクが発見された場合 PMは所属長やSMEからの指摘事項に対して適切な対応をとっていく 15

5.1.3 SMEレビューでの指摘事項フォロー SMEはレビューでの指摘事項について前項の月次報告の中で完了状況を確認することで図 9 に示すとおり解決するまで確実に支援している実施月 N 月レビュー実施記録指摘事項レビューでの指摘事項の完了状況 N+1 月転記 (N 月 ) 月次報告指摘事項 N+2 月転記 (N+1 月 ) 月次報告指摘事項図 9.レビューでの指摘事項を月次報告でフォローする仕組みこの仕組みは何らかの理由で対応が数ヶ月かかる場合でも毎月の月次報告で最新状況をマネジメントと共有しながら解決することができるため有用性の高いフォロー方法である 5.2 業務から独立した視点で行う独立的評価日常的モニタリングでは発見できない問題点やリスクがないかを経営的な視点から評価するため定期的に行われるものが独立的評価である 5.2.1 経営幹部によるマネジメントレビュー経営幹部は組織全体のリーダーとしてセキュリティ管理の運用に最終的な責任を有しているまた経営会議の中で主管部門に適切な指示を行いその結果を監視することによってマネジメントレビューを行うこととなる当該レビューの中で活動目標や活動結果の承認運用状況の評価を行い経営幹部が主導することで当事者意識を組織内に徹底させることが可能となる 5.2.2 二段構えの内部監査内部監査は組織全体におけるセキュリティ管理が適切に機能していることを独立した第三者によって定期的に実証するものである当社では表 3に示すとおり当社による内部監査と親会社による内部監査の二段構えで問題点やリスクを発見して適時に是正を行っている 16

表 3. 二段構えの内部監査における相違点当社による内部監査親会社による内部監査実施部門本社部門親会社の監査部門実施期間四半期ごとに約 1ヶ月数年ごとに約 2ヶ月評価内容運用状況整備状況及び運用状況是正対応プロジェクト本社部門及びプロジェクト当社による内部監査では SMEレビュー対象のプロジェクトから5 件をサンプリングして運用状況を検証することにより日常的モニタリングの実効性を確認している一方親会社による内部監査ではセキュリティ管理の整備状況及び運用状況に加えて当社による内部監査の妥当性も評価することにより当社の健全性を監視している 5.3 当事者からの 24 時間以内報告インシデント発生後 24 時間以内に当事者 ( 再委託先社員の場合 PMへ一報報告を受けたPM) が所属長に報告することを起点にして組織全体で緊急対応していくのが図 10に示すインシデント発生時の対応である当事者からの報告をもとに組織として的確に事象を認識しその対応対策方針を判断しその事象のレベルに応じた適切かつ迅速な対応対策を実施することが被害の最小化影響の拡大防止に繋がる 2011 年当社における 24 時間以内に当事者から報告された比率は約 50%だったその後 2013 年には約 69%へ上昇しているためある程度一人ひとりの当事者意識が浸透してきていると言えるだろう図 10.インシデント発生時の対応 7 17

5.4 組織におけるリスク発見の限界組織におけるリスク発見は第三者による点検確認評価監視によって潜在的な問題点やリスクを適時に発見できる更に適切な是正対応をPMに指導することで当事者意識の醸成セキュリティ管理の徹底情報漏えいリスクの軽減といった効果をもたらすこのように組織におけるリスク発見は一見よいことづくめであるが当事者の資質により効果が異なるまず点検確認評価監視される側のPMが正直であることが前提となるよくある事例として日常的モニタリングでは PMからできていると報告を受けていたことが内部監査になると隠しきれなくなるためか実はと事実が露見するのであるできていないことはできていないとありのままで報告する正直さがPMには求められるつぎに点検確認評価監視する側の第三者が表面的な形式のみを見るのではなくリスク発見の本質を理解できていることが必要不可欠であるリスク発見の本質は正しいことを行っているかどうかを見抜くことにあると考えるルールに従いプロセスを守って正しく管理できていることを見るのは第三者として当然だが状況に応じて正しいことを行うように PMに指導できるかどうかは第三者がリスク発見の本質を理解できているかにかかっている組織におけるリスク発見は PMによる嘘の報告や第三者による表面的な判断が組織内に蔓延すると牽制機能が働かなくなるため無力化してしまう 18

6.リスク発見アプローチの有効性 6.1 リスクを発見するための7つのステップ前述してきた契約書プロジェクト組織におけるリスク発見は各観点のみで見るとおのおの限界があるしかし相互に連動することでプロジェクトでは気づかないリスクが発見しやすくなるこの相互連動をまとめると図 11のプロジェクト単位で実践するリスク発見アプローチとなるプロジェクト契約書 / 注文書 / 見積書 1 契約書の確認前提条件お客様要件必要な対応策の判定インシデント 7 24 時間以内に報告 SRC 2 セキュリティリスクの把握リスク発見セキュリティ管理資料 3 業務上の必要性確認リスク共有 5 日常的モニタリングリスク発見リスク一覧表 4 お客様への報告 6 独立的評価リスク発見図 11.プロジェクト単位で実践するリスク発見アプローチ更にリスク発見アプローチは 7つのステップに体系化できる 1 契約書の確認適切なセキュリティ管理を実施していくために前提条件やお客様要件を確認する 2 セキュリティリスクの把握 SRCを用いてセキュリティリスクと必要な対応策を判定する 3 業務上の必要性確認役割や責任の妥当性個人への権限集中の観点で必要性を確認してリスクを発見する 4 お客様への報告発見したリスクとその管理状況についてお客様へ報告することでリスクを共有する 5 日常的モニタリングレビューによる包括的な点検や月次報告の中で実施状況を確認してリスクを発見する 6 独立的評価内部監査や経営会議の中で整備状況及び運用状況の評価を行いリスクを発見する 19

7 24 時間以内に報告インシデント発生やその可能性がある場合当事者は 24 時間以内に所属長へ報告するなお 7つ目のステップは事後対策として必要ではあるが 6つ目までのステップの中で早期にリスクを発見して適切に管理することによりなくしたいものである 6.2 リスク発見アプローチの評価 2014 年 11 月現在リスク発見アプローチを実践している当社の113プロジェクトにおいて発見できたリスクの総数は622 件であった表 4は発見できたリスクを分類別に集計した結果であるトップ5のうち職務権限分離共用 IDの使用必要以上の権限パスワード変更で全体の約 60%を占めておりユーザーID/アクセス権に関係するリスクの比率が高いことがわかる 1 2 3 4 5 表 4. 発見できたリスクのトップ5(2014 年 11 月現在 ) 分類リスク内容 ( 例 ) 職務権限分離 191 件 (31%) お客様への確認 133 件 (21%) 共用 IDの使用 92 件 (15%) 必要以上の権限 59 件 (9%) パスワード変更 42 件 (7%) 内部設計プログラミング作業担当者と本番環境プログラムコードへの更新や本番データ更新の実施担当者が重複しているためプログラム及びデータの改ざんや情報漏えいが発見されないリスクが高まるアプリケーション一覧表についてお客様への確認が実施できていないため作業範囲と合致していない可能性がありデータ漏えいの可能性が高まる本番環境で共用 IDを使用しているため作業を実施した個人の特定ができずお客様要求のないシステム変更やデータ漏えいが発生する危険性がある本番環境に更新権限のあるユーザーIDを常時保有しているため開発テスト環境と本番環境を万が一取り違えてしまう誤操作により本番環境のデータが変更削除されてしまう可能性がある root 権限ユーザー Administratorユーザーのパスワードが変更できない環境にあるためパスワードの漏えい推測による不正アクセスが発生する可能性が高まる一方 113プロジェクトのうちリスクがなかったプロジェクトは5 件 ( 約 4.4%)であった発見できたリスクの総数をリスクがあったプロジェクト数で割ると 1プロジェクトあたりの平均リスク数は約 5.8 件となる 2011 年にリスク発見アプローチを開始した当初 1プロジェクトあたりで発見できた平均リスク数は約 2 件であった当時発見できたリスクはお客様への確認とパスワード変更に偏っていた振り返ってみると現在の倍近くに相当するSMEを配置していたが発見すべきリスクに漏れがあったのである 2014 年 11 月現在各プロジェクトにおいて平均にして6 件近くのリスクを発見できていることはリスク発見アプローチが有効に機能し定着している結果と考えている 20

6.3 今後の課題全体としては有効に機能しているプロジェクト単位で実践するリスク発見アプローチではあるがその要因は特に2セキュリティリスクの把握と5 日常的モニタリングに依存している 2セキュリティリスクの把握は PSP 管理 DBを導入していることもあり適時に把握することができているまた 5 日常的モニタリングは SMEによる包括的な点検や指摘事項フォローなどによりプロジェクトにおける適時適切な対応に寄与している一方 1 契約書の確認と3 業務上の必要性確認は 5 日常的モニタリングの中でSMEにて実施しているのが現状である本来 1 契約書の確認と3 業務上の必要性確認はプロジェクト内で積極的に実施していただきたい内容であるためこの2ステップを強化して最後はプロジェクト自らリスクを発見できるようになることが今後の課題であるもし現在たずさわっているプロジェクトの契約書をまだ読んでいない方がいれば今すぐ契約書を確認することを勧めるきっとプロジェクトに潜む情報漏えいリスクを発見する糸口をつかむことになるであろう 7.おわりに本事例では情報漏えいリスクの早期発見という課題を解決するために時間とコストをかけずに実施できる大まかなリスク範囲を把握した上で重点領域を確認する方法を採用した大まかなリスク範囲を把握するための基準として個人情報の取り扱い機密情報の取り扱い本番環境アクセスをセキュリティリスクと定義した更にセキュリティリスクの組み合わせによって必要な対応策を特定できるノウハウをチェックシート化したことでリスクの早期発見を実現している本事例を通じて気づいたことは第三者によるリスク発見は確実に有効であるもののリスクを発見するまでに一定の時間を要するためプロジェクトの当事者によるリスク発見こそが最短距離で対応できることである当社はこれからも一人ひとりが当事者意識をもってプロジェクト単位で実践するリスク発見アプローチを実施していくことによりヒューマンエラーに起因する情報漏えいリスクを軽減していく 21

参考文献 1. 髙橋重光第 52 回 IBM ユーザーシンポジウム論文集 / お客様の情報資産を守るプロジェクトセキュリティ管理手法の運用定着化 2014 年 5 月発行 2. 株式会社ベネッセホールディングス個人情報漏えい事故調査委員会による調査結果のお知らせ / 個人情報漏えい事故調査委員会による調査報告について 2014 年 9 月 25 日 http://blog.benesse.ne.jp/bh/ja/news/m/2014/09/25/docs/20140925 リリース.pdf 3. NPO 日本ネットワークセキュリティ協会 2012 年情報セキュリティインシデントに関する調査報告書 ~ 個人情報漏えい編 ~ 第 1.1 版 2014 年 7 月 7 日 http://www.jnsa.org/result/incident/data/2012incident_survey_ver1.1.pdf 4. 社団法人日本内部監査協会 IT 監査とIT 統制 - 基礎から事業継続ネットワーククラウドまで- 同文舘出版 2012 年 9 月 25 日発行 5. 経済産業省営業秘密管理指針参考資料 2: 各種契約書の参考例 2011 年 12 月 1 日 http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/20111201sankou2.pdf 6. 企業会計審議会財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について( 意見書 ) 2011 年 3 月 30 日 http://www.fsa.go.jp/singi/singi_kigyou/tosin/20110330/01.pdf 7. コベルコシステム株式会社 CSRレポート2014 2014 年 4 月発行 http://www.kobelcosys.co.jp/pdf/csr/csr2014.pdf 22