プロジェクトに 潜 む 情 報 漏 えいリスク 発 見 アプローチ とうばる はるな 桃 原 春 奈 [ 略 歴 ] 2010 年 コベルコシステム 株 式 会 社 入 社 現 在 技 術 品 質 統 括 部 業 務 品 質 向 上 推 進 グループ システム 経 験 年 数 4 年 たかはし しげみつ 髙 橋 重 光 [ 略 歴 ] 1995 年 日 本 アイ ビー エム 株 式 会 社 入 社 2009 年 コベルコシステム 株 式 会 社 現 在 技 術 品 質 統 括 部 業 務 品 質 向 上 推 進 グループ システム 経 験 年 数 19 年 原 稿 量 本 文 要 約 図 表 13,500 字 1,200 字 15 枚 1
< 要 約 > コベルコシステム( 以 下 当 社 )は お 客 様 の 情 報 システムを 構 築 保 守 運 用 するITサービス をプロジェクト 単 位 で 提 供 している 当 社 では プロジェクトのQ( 品 質 ) C(コスト) D( 納 期 ) 管 理 に 加 え 2009 年 からPSP(Project Security Process)によるセキュリティ 管 理 を 推 進 強 化 してきた 2014 年 7 月 ベネッセにおいて 約 3,504 万 件 の 個 人 情 報 が 漏 えいする 事 故 が 発 生 したのは 皆 さんも 記 憶 に 新 しいと 思 う ベネッセの 情 報 漏 えいでは そのサービスを 利 用 してい る 個 人 から 指 摘 されるまで 社 外 に 個 人 情 報 が 漏 えいした 事 実 に 気 づかなかったことが 問 題 である 一 方 個 人 情 報 漏 えいの 原 因 は 管 理 ミス 誤 操 作 紛 失 置 忘 れ のヒューマンエラーで 約 90%を 占 めると 言 われている(NPO 日 本 ネットワークセキュリティ 協 会 の 調 査 報 告 書 より) 情 報 漏 えいリスクとは 情 報 漏 えい 発 生 時 の 影 響 または 情 報 漏 えいを 引 き 起 こす 可 能 性 があるこ とである また 情 報 漏 えいは 必 ず 起 こることを 前 提 としたリスク 管 理 が 重 要 となる そこで 筆 者 は 情 報 漏 えいリスクの 早 期 発 見 が 注 力 すべき 課 題 であると 考 えた 本 論 文 では 当 社 のセキュリティ 管 理 手 法 であるPSPを 中 心 に プロジェクトに 潜 む 情 報 漏 えい リスクを 早 期 に 発 見 するための 工 夫 考 慮 点 について 述 べる 具 体 的 には 契 約 書 プロジェクト 組 織 の 各 観 点 におけるリスク 発 見 とその 限 界 を 整 理 するとともに プロジェクト 単 位 で 実 践 するリス ク 発 見 アプローチとして 以 下 の7つのステップに 体 系 化 した 1 契 約 書 の 確 認 2 セキュリティリスクの 把 握 3 業 務 上 の 必 要 性 確 認 4 お 客 様 への 報 告 5 日 常 的 モニタリング 6 独 立 的 評 価 7 24 時 間 以 内 に 報 告 2011 年 にリスク 発 見 アプローチを 開 始 した 当 初 1プロジェクトあたりで 発 見 できた 平 均 リス ク 数 は 約 2 件 であった 当 時 を 振 り 返 ってみると 発 見 すべきリスクに 漏 れがあったのである 2014 年 11 月 現 在 各 プロジェクトにおいて 平 均 にして6 件 近 くのリスクを 発 見 できている ことは リスク 発 見 アプローチが 有 効 に 機 能 している 結 果 と 考 えている 本 事 例 では 情 報 漏 えいリスクの 早 期 発 見 という 課 題 を 解 決 するために 時 間 とコストをかけずに 実 施 できる 大 まかなリスク 範 囲 を 把 握 した 上 で 重 点 領 域 を 確 認 する 方 法 を 採 用 した 大 まかなリ スク 範 囲 を 把 握 するための 基 準 として 個 人 情 報 の 取 り 扱 い 機 密 情 報 の 取 り 扱 い 本 番 環 境 アクセス をセキュリティリスクと 定 義 した 更 に セキュリティリスクの 組 み 合 わせによって 必 要 な 対 応 策 を 特 定 できるノウハウをチェックシート 化 したことで リスクの 早 期 発 見 を 実 現 している 現 在 情 報 システムを 構 築 保 守 運 用 するプロジェクトの 当 事 者 で プロジェクトに 潜 む 情 報 漏 えいリスクを 早 期 発 見 したい 企 業 において 本 論 文 のアプローチが 一 助 となれば 幸 いである 2
目 次 1.はじめに... 5 2.リスク 早 期 発 見 の 重 要 性 と 方 法 論... 6 2.1 情 報 漏 えいリスク 発 見 の 重 要 性... 6 2.1.1 情 報 漏 えいリスクとは... 6 2.1.2 ベネッセの 情 報 漏 えいを 振 り 返 る... 6 2.2 情 報 漏 えいリスク 発 見 の 方 法 論... 7 2.2.1 リスク 範 囲 の 把 握... 7 2.2.2 リスク 発 見 手 段... 7 3. 契 約 書 によるリスク 発 見... 8 3.1 契 約 書 の 重 要 性... 8 3.2 契 約 書 の 読 み 方... 8 3.2.1 契 約 書 で 確 認 すべき 観 点... 8 3.2.2 業 務 委 託 契 約 書 の 具 体 例... 9 3.3 契 約 書 によるリスク 発 見 の 限 界... 10 4.プロジェクトにおけるリスク 発 見... 10 4.1 セキュリティリスクの 把 握... 10 4.1.1 セキュリティリスクとは... 10 4.1.2 チェックシートによる 自 動 判 定... 11 4.2 業 務 上 の 必 要 性 確 認... 11 4.2.1 プロジェクト 着 任 離 任 時 の 対 応... 11 4.2.2 ユーザーID/アクセス 権 管 理... 12 4.2.3 職 務 権 限 分 離... 13 4.2.4 一 連 の 流 れによる 網 羅 的 な 確 認... 13 4.3 お 客 様 への 報 告... 14 4.4 プロジェクトにおけるリスク 発 見 の 限 界... 15 5. 組 織 におけるリスク 発 見... 15 5.1 業 務 に 組 み 込 んで 行 う 日 常 的 モニタリング... 15 5.1.1 SMEレビューによる 包 括 的 な 点 検... 15 5.1.2 月 次 報 告 によるマネジメントレビュー... 15 5.1.3 SMEレビューでの 指 摘 事 項 フォロー... 16 5.2 業 務 から 独 立 した 視 点 で 行 う 独 立 的 評 価... 16 5.2.1 経 営 幹 部 によるマネジメントレビュー... 16 5.2.2 二 段 構 えの 内 部 監 査... 16 5.3 当 事 者 からの 24 時 間 以 内 報 告... 17 3
5.4 組 織 におけるリスク 発 見 の 限 界... 18 6.リスク 発 見 アプローチの 有 効 性... 19 6.1 リスクを 発 見 するための7つのステップ... 19 6.2 リスク 発 見 アプローチの 評 価... 20 6.3 今 後 の 課 題... 21 7.おわりに... 21 4
1.はじめに コベルコシステム( 以 下 当 社 )は お 客 様 の 情 報 システムを 構 築 保 守 運 用 するITサービス をプロジェクト 単 位 で 提 供 している 当 社 では プロジェクトのQ( 品 質 ) C(コスト) D( 納 期 ) 管 理 に 加 え 2009 年 からPSP(Project Security Process)によるセキュリティ 管 理 を 推 進 強 化 してきた PSPとは プロジェクトごとにセキュリティリスク( 個 人 情 報 の 取 り 扱 い 機 密 情 報 の 取 り 扱 い 本 番 環 境 アクセス)を 把 握 した 上 で お 客 様 とリスクを 共 有 し 対 応 策 を 実 施 してい くセキュリティ 管 理 手 法 である 1 2014 年 7 月 株 式 会 社 ベネッセコーポレーション( 以 下 ベネッセ)において 約 3,504 万 件 の 個 人 情 報 が 漏 えいする 事 故 2 ( 以 下 ベネッセの 情 報 漏 えい)が 発 生 したのは 皆 さんも 記 憶 に 新 しいと 思 う ベネッセのグループ 会 社 ( 当 社 からみて 同 業 他 社 )の 再 委 託 先 社 員 が 個 人 情 報 を 不 正 に 持 ち 出 し 名 簿 業 者 に 売 却 したとのことだが 筆 者 及 び 筆 者 の 家 族 のもとにも お 詫 びの 書 状 が 届 き もはや 他 人 事 ではなくなった ベネッセの 情 報 漏 えいでは そのサービスを 利 用 している 個 人 から 指 摘 されるまで 社 外 に 個 人 情 報 が 漏 えいしていた 事 実 に 気 づかなかったことが 問 題 である 一 方 NPO 日 本 ネットワークセキュリティ 協 会 の2012 年 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 3 によると 個 人 情 報 漏 えいインシデントの 漏 えい 原 因 は 図 1に 示 すとおり 管 理 ミス 誤 操 作 紛 失 置 忘 れ で 約 90%を 占 めている これらの 原 因 がヒューマンエラーである 限 り どのような 対 応 策 を 講 じても 情 報 漏 えいが 発 生 する 可 能 性 は 残 る 図 1.2012 年 の 個 人 情 報 漏 えい 原 因 比 率 ( 件 数 ) 3 情 報 漏 えいは 必 ず 起 こることを 前 提 としたリスク 管 理 が 重 要 となるため 筆 者 は 情 報 漏 えいリス クの 早 期 発 見 が 注 力 すべき 課 題 であると 考 えた 本 論 文 では 当 社 のセキュリティ 管 理 手 法 であるPSPを 中 心 に プロジェクトに 潜 む 情 報 漏 えい リスクを 早 期 に 発 見 するための 工 夫 考 慮 点 について 述 べる 5
2.リスク 早 期 発 見 の 重 要 性 と 方 法 論 2.1 情 報 漏 えいリスク 発 見 の 重 要 性 2.1.1 情 報 漏 えいリスクとは 情 報 漏 えいとは 企 業 活 動 の 中 で 蓄 積 された 個 人 情 報 や 技 術 情 報 など 一 般 に 公 表 されていない 企 業 内 情 報 が 過 失 故 意 に 関 わらず 外 部 へ 流 出 する 事 象 である 主 な 例 として 社 員 によってお 客 様 情 報 が 不 正 に 売 却 されたことによる 個 人 情 報 漏 えい 退 職 者 によって 製 品 情 報 が 競 合 他 社 へ 不 正 に 持 ち 出 されたことによる 技 術 情 報 漏 えい などがある 情 報 漏 えいリスクとは 情 報 漏 えい 発 生 時 の 影 響 または 情 報 漏 えいを 引 き 起 こす 可 能 性 があるこ とである 一 方 企 業 は 自 社 では 発 生 しないだろう 自 社 の 社 員 は 不 正 行 為 をしないだろう とリスクを 軽 視 する 傾 向 があると 筆 者 は 考 えている しかし ひとたび 情 報 漏 えいが 発 生 すると お 客 様 や 取 引 先 への 補 償 または 損 害 賠 償 企 業 価 値 の 減 少 という 被 害 が 発 生 する その 他 にも リスク 対 応 策 を 実 施 していれば 不 要 であった 事 故 の 原 因 究 明 や 問 い 合 わせ 窓 口 の 設 置 セキュリティ 対 応 な どに 時 間 とコストがかかってしまう このことからも 事 件 事 故 が 発 生 する 前 に 情 報 漏 えいリスク を 発 見 し 早 い 段 階 で 対 応 策 を 講 じることが 重 要 であることがわかる 2.1.2 ベネッセの 情 報 漏 えいを 振 り 返 る ベネッセの 情 報 漏 えい 発 生 を 受 け ベネッセの 親 会 社 である 株 式 会 社 ベネッセホールディングスは 外 部 の 専 門 家 らで 構 成 した 事 故 調 査 委 員 会 を 設 置 した 当 該 委 員 会 は 情 報 漏 えいに 関 する 事 実 原 因 などの 調 査 及 び 調 査 結 果 を 踏 まえた 再 発 防 止 策 などの 提 言 を 実 施 した ここで 調 査 結 果 の 報 告 内 容 を 元 に ベネッセの 情 報 漏 えい 発 生 前 後 の 対 応 策 を 図 2のとおり 整 理 して 比 較 してみた 発 生 前 入 退 室 管 理 / 入 口 の 監 視 カメラ 社 員 への 定 期 教 育 実 施 委 託 業 務 従 事 者 への 事 前 年 次 のセキュリティ 研 修 PCのネットワークへの 操 作 ログ 記 録 PCからスマートフォンの 書 き 出 し 制 御 アクセス 権 の 管 理 ( 定 期 見 直 し 不 十 分 ) データ 大 量 ダウンロードのアラート( 一 部 ) 既 存 改 善 強 化 調 査 補 償 発 生 後 入 退 室 管 理 / 入 口 の 監 視 カメラ 社 員 への 定 期 教 育 実 施 委 託 業 務 従 事 者 への 事 前 年 次 のセキュリティ 研 修 PCのネットワークへの 操 作 ログ 記 録 PCにおける 外 部 メディアの 認 識 不 可 設 定 アクセス 権 の 棚 卸 し/パスワードの 定 期 更 新 データ 大 量 ダウンロードのアラート( 全 データベース) データベースの 個 人 情 報 を 利 用 目 的 別 にマスキング 個 人 情 報 を 扱 うシステムの 業 務 委 託 禁 止 アクセス 通 信 ログのモニタリング データベース 通 信 ログのモニタリング 社 内 PCのローカルでの 業 務 データ 有 無 自 動 検 索 監 査 担 当 者 による 定 期 監 査 データベース 保 守 運 用 会 社 の 設 置 調 査 機 関 設 置 警 察 への 調 査 協 力 個 人 情 報 のオプトアウト 消 去 対 応 専 用 お 客 様 窓 口 の 設 置 お 客 様 への 個 別 対 応 情 報 漏 えいしたお 客 様 への 補 償 図 2.ベネッセの 情 報 漏 えい 発 生 前 後 の 対 応 策 比 較 6
情 報 漏 えい 発 生 前 の 対 応 策 は アクセス 権 管 理 が 不 十 分 データ 大 量 ダウンロードのアラート 機 能 の 対 象 範 囲 漏 れなど 個 人 情 報 を 扱 う 企 業 としては もう 一 歩 踏 みこんだ 対 応 策 が 必 要 であった 印 象 を 受 ける また 情 報 漏 えい 発 生 後 の 対 応 策 についても システム 投 資 や 保 守 運 用 新 会 社 設 立 など 物 理 的 セキュリティ 強 化 に 重 きを 置 いているように 思 われる ベネッセの 情 報 漏 えいは リスクの 発 見 が 遅 れた 結 果 補 償 企 業 イメージ 回 復 に 時 間 とコストを かけている 事 例 である 2.2 情 報 漏 えいリスク 発 見 の 方 法 論 2.2.1 リスク 範 囲 の 把 握 情 報 漏 えいリスクは 事 件 事 故 により 初 めて 潜 んでいたリスクが 表 面 化 する 専 門 家 によ る 調 査 を 実 施 しないと 発 見 できない と 思 いがちだがそうではない 当 事 者 自 身 が 意 識 することでプ ロジェクトや 業 務 に 潜 むリスクを 事 前 に 発 見 し リスク 軽 減 の 対 応 策 を 実 施 することができる 筆 者 は リスクを 発 見 する 方 法 として 2つあると 考 えている 1つ 目 は すべての 範 囲 を 確 認 す るために 1つずつリスクを 把 握 する 方 法 である この 方 法 は 漏 れなくリスクを 発 見 できるが 確 認 するために 時 間 とコストがかかり リスクの 発 見 が 遅 れてしまう 可 能 性 がある 2つ 目 は 大 まか なリスク 範 囲 を 把 握 したのち 特 定 範 囲 のリスクを 確 認 する 方 法 である この 方 法 は 時 間 とコスト をかけずに 確 認 することができるが 絞 り 込 む 範 囲 が 適 切 でない 場 合 発 見 するリスクが 漏 れてしま う 可 能 性 がある リスクを 早 期 に 発 見 するには いかに 時 間 とコストをかけずに 実 施 できるかがポイントになるため 大 まかなリスク 範 囲 を 把 握 した 上 で 重 点 領 域 を 確 認 する 方 法 が 望 ましい 更 に リスク 発 見 の 漏 れを 少 なくするために 絞 り 込 む 基 準 を 正 確 でわかりやすくすることが 重 要 と 考 える 2.2.2 リスク 発 見 手 段 リスクを 発 見 する 手 段 としては チェックシートやアンケート ログ 分 析 などがある しかし 確 認 する 対 象 範 囲 や 確 認 のレベルによって 一 長 一 短 である ここで 一 般 的 なリスク 発 見 手 段 について その 内 容 とメリット/デメリットを 表 1にまとめた 表 1. 一 般 的 なリスク 発 見 手 段 発 見 手 段 内 容 メリット/デメリット チェックシート 事 前 に 用 意 したチェック 項 目 を 確 認 する 理 解 しやすく 短 時 間 で 効 率 的 に 確 認 できる チェック 項 目 から 漏 れた 範 囲 はわからない アンケート 用 意 した 設 問 に 対 し 回 答 して もらい 集 計 分 析 する 多 様 かつ 広 い 範 囲 で 確 認 できる 集 計 分 析 に 時 間 がかかり 判 断 尺 度 が 難 しい ログ 分 析 関 連 する 記 録 の 照 合 や 結 果 を データまで 遡 る 正 確 性 を 担 保 できる 記 録 の 蓄 積 が 必 要 で 分 析 に 時 間 がかかる 文 書 レビュー 状 況 把 握 や 内 容 確 認 のため 関 連 文 書 や 資 料 などを 確 認 する 網 羅 的 に 関 連 性 を 確 認 できる 確 認 する 資 料 が 膨 大 になる 可 能 性 がある インタビュー 状 況 把 握 や 内 容 確 認 のため 質 疑 応 答 形 式 で 直 接 確 認 する 言 葉 だけでなく 反 応 や 表 情 まで 確 認 できる インタビューアーの 質 に 左 右 される 7
採 用 するリスク 発 見 手 段 によって 必 要 な 時 間 とコストが 変 わってくるが リスクを 早 期 発 見 する ためには 複 数 の 手 段 を 組 み 合 わせて 実 施 していくことが 効 果 的 であると 筆 者 は 考 えている 3. 契 約 書 によるリスク 発 見 3.1 契 約 書 の 重 要 性 契 約 とは 当 事 者 の 意 思 表 示 の 合 致 によって 成 立 する 法 律 行 為 である そして 契 約 書 とは 当 事 者 の 意 思 の 合 致 を 証 するために 作 成 される 文 書 である 具 体 的 に 契 約 書 には 契 約 形 態 や 著 作 権 支 払 条 件 などについて 明 記 されているが 情 報 漏 えいリスクに 関 しても 以 下 の 事 項 が 書 かれている プロジェクトの 前 提 条 件 やお 客 様 要 件 契 約 違 反 に 伴 う 罰 則 事 件 事 故 発 生 時 の 損 害 賠 償 プロジェクトの 前 提 条 件 やお 客 様 要 件 には 個 人 情 報 の 取 り 扱 いや 機 密 情 報 の 取 り 扱 いなどが 明 確 になっており 当 事 者 が 重 視 するリスク 範 囲 を 把 握 することができる しかし 業 務 で 取 り 扱 う 情 報 と 契 約 内 容 に 差 異 がある 場 合 や 役 割 分 担 などが 不 明 確 な 状 態 では じゅうぶんなリスク 対 応 策 を 実 施 できない 可 能 性 がある 一 方 契 約 違 反 に 伴 う 罰 則 や 事 件 事 故 発 生 時 の 損 害 賠 償 については 情 報 漏 えいが 発 生 した 際 の 影 響 の 大 きさを 測 ることができる 3.2 契 約 書 の 読 み 方 3.2.1 契 約 書 で 確 認 すべき 観 点 プロジェクトの 現 場 においてプロジェクトマネージャー( 以 下 PM)は 表 2に 示 すとおり 少 なくとも 取 り 扱 う 情 報 と プロジェクト 作 業 の2つの 観 点 で 契 約 書 を 確 認 する 必 要 がある ま ず 取 り 扱 う 情 報 について 機 密 情 報 などの 定 義 や 情 報 の 開 示 範 囲 を 確 認 することで 管 理 すべ き 情 報 の 範 囲 とリスクの 大 きさを 把 握 できる つぎに プロジェクト 作 業 について 対 象 システ ムや 本 番 環 境 の 運 用 責 任 などを 確 認 することで プロジェクト 作 業 により 発 生 するリスクの 把 握 とリ スク 対 応 策 の 絞 り 込 みができる 表 2. 契 約 書 で 確 認 すべき 観 点 確 認 すべき 観 点 確 認 項 目 例 取 り 扱 う 情 報 個 人 情 報 の 取 り 扱 い 個 人 情 報 取 り 扱 いに 関 する 契 約 書 などを 取 り 交 わしているか 情 報 を 開 示 するための 様 式 ( 開 示 通 知 書 )は 指 定 されているか 機 密 情 報 の 取 り 扱 い 機 密 保 持 契 約 書 などを 取 り 交 わしているか 機 密 情 報 の 定 義 ( 見 聞 きしたものすべて/ 開 示 通 知 書 で 指 定 ) 第 三 者 への 資 料 開 示 プロジェクトで 作 成 した 資 料 はメンバー 以 外 に 開 示 してよいか 第 三 者 へ 開 示 する 際 の 報 告 形 式 は 指 定 されているか プロジェクト 作 業 対 象 範 囲 対 象 システム/アプリケーションは 明 記 されているか 作 業 場 所 や 業 務 で 使 用 する 機 器 は 指 定 されているか 役 割 分 担 本 番 環 境 の 更 新 はどこが 担 当 するか 環 境 ( 本 番 環 境 テスト 環 境 開 発 環 境 )の 運 用 責 任 はどこか お 客 様 要 件 お 客 様 のセキュリティポリシーは 明 示 されているか お 客 様 施 設 や 貸 与 PCなどお 客 様 資 産 の 使 用 に 関 する 取 り 決 め 8
契 約 書 を 確 認 した 結 果 契 約 内 容 と 実 態 に 差 異 がある 場 合 は 当 事 者 間 で 別 途 調 整 が 必 要 である また 契 約 内 容 と 実 態 に 差 異 がない 場 合 においても 当 事 者 間 で 認 識 違 いがないか 再 確 認 することが 望 ましい 3.2.2 業 務 委 託 契 約 書 の 具 体 例 ITサービスでよく 使 用 される 契 約 書 の 一 つに 業 務 委 託 契 約 書 がある 業 務 委 託 契 約 書 では 委 託 する 特 定 の 業 務 内 容 が 記 載 されているだけでなく 業 務 でやり 取 りする 情 報 の 取 り 扱 いも 明 記 され ている 図 3は 業 務 委 託 契 約 書 のうち 機 密 情 報 の 取 り 扱 いと 再 委 託 に 関 する 条 項 の 例 である 第 条 ( 秘 密 保 持 ) 1. 乙 は 本 契 約 の 履 行 にあたり 甲 が 秘 密 である 旨 明 示 して 開 示 する 情 報 及 び 本 契 約 の 履 行 により 生 じる 情 報 ( 以 下 秘 密 情 報 という )を 秘 密 として 取 扱 い 次 項 に 定 める 場 合 を 除 き 甲 の 事 前 の 書 面 による 承 諾 なく 第 三 者 に 開 示 してはならない ただし 乙 が 書 面 によってその 根 拠 を 立 証 できる 場 合 に 限 り 以 下 の 情 報 は 秘 密 情 報 の 対 象 外 とするものとする 1 開 示 を 受 けたときに 既 に 乙 が 保 有 していた 情 報 2 開 示 を 受 けた 後 秘 密 保 持 義 務 を 負 うことなく 第 三 者 から 正 当 に 入 手 した 情 報 3 開 示 を 受 けた 後 相 手 方 から 開 示 を 受 けた 情 報 に 関 係 なく 乙 が 独 自 に 取 得 し 又 は 創 出 した 情 報 4 開 示 を 受 けたときに 既 に 公 知 であった 情 報 5 開 示 を 受 けた 後 乙 の 責 に 帰 し 得 ない 事 由 により 公 知 となった 情 報 2. 甲 又 は 乙 は 法 令 により 前 項 に 規 定 する 秘 密 情 報 の 開 示 が 義 務 づけられた 場 合 には 事 前 に 相 手 方 に 通 知 し 開 示 につき 可 能 な 限 り 相 手 方 の 指 示 に 従 うものとする 3. 甲 が 乙 に 秘 密 である 旨 指 定 して 開 示 する 情 報 は 別 紙 の 通 りである なお 別 紙 は 甲 乙 協 力 し 常 に 最 新 の 状 態 を 保 つべく 適 切 に 更 新 するものとする 4. 乙 は 甲 より 開 示 された 秘 密 情 報 の 管 理 につき 乙 が 保 有 する 他 の 情 報 や 記 録 媒 体 等 と 明 確 に 区 別 して 適 切 に 管 理 する 第 条 ( 再 委 託 ) 1. 乙 は 甲 の 事 前 の 書 面 による 承 諾 を 得 ずに 本 業 務 の 全 部 又 は 一 部 を 第 三 者 へ 再 委 託 してはならな い 2. 前 項 の 事 前 の 書 面 による 承 諾 に 基 づき 本 業 務 を 再 委 託 する 場 合 乙 は 自 己 が 負 う 義 務 と 同 等 の 義 務 を 再 委 託 先 に 対 して 書 面 にて 課 すとともに 甲 に 対 して 再 委 託 先 に 当 該 義 務 を 課 した 旨 を 書 面 により 報 告 し かつ 乙 は 当 該 秘 密 情 報 の 開 示 に 伴 う 責 任 を 負 うものとする 3. 前 項 に 加 え 乙 は 再 委 託 先 から 次 の 各 号 の 承 諾 を 得 なければならない また 乙 は 当 該 承 諾 を 得 た 旨 を 甲 に 書 面 で 報 告 する 1 事 故 発 生 時 には 直 ちに 甲 に 対 しても 通 知 すること 2 事 故 再 発 防 止 策 を 協 議 する 際 には 甲 の 参 加 も 認 めること 3 再 委 託 先 における 秘 密 情 報 の 具 体 的 管 理 状 況 の 報 告 は 甲 の 閲 覧 も 可 とすること 図 3. 業 務 委 託 契 約 書 の 具 体 例 5 機 密 情 報 の 定 義 は 秘 密 である 旨 明 示 して 開 示 する 情 報 のように できる 限 り 具 体 的 に 明 記 す ることが 望 ましい しかし 直 接 間 接 に 関 わらず 知 り 得 た 一 切 の 情 報 など 広 い 範 囲 で 機 密 情 報 の 範 囲 を 定 義 されることもあり その 場 合 は 取 り 扱 うすべての 情 報 に 注 意 をはらう 必 要 がある こ のように 契 約 書 で 定 義 されている 内 容 によってリスクの 範 囲 対 応 策 が 決 まってくる そして 前 述 した 確 認 すべき 観 点 を 意 識 して 契 約 書 を 読 むことで リスクを 発 見 していくことができる 一 方 当 事 者 間 の 関 係 や 提 供 するサービスによっては 双 方 調 印 形 式 の 契 約 書 を 締 結 せず 注 文 書 / 注 文 請 書 見 積 書 でやり 取 りすることもある 当 事 者 間 における 意 思 の 合 致 を 残 すという 観 点 では 注 文 書 / 注 文 請 書 見 積 書 も 契 約 書 と 同 じ 効 力 をもつ 9
3.3 契 約 書 によるリスク 発 見 の 限 界 契 約 書 によるリスク 発 見 は プロジェクトの 当 事 者 が 契 約 書 を 読 むことから 始 まる 特 に 最 悪 の 事 態 を 想 定 しながら 契 約 書 を 読 むことで 当 事 者 が 重 視 すべきリスク 範 囲 を 把 握 できる また 情 報 漏 えいが 発 生 した 際 の 影 響 の 大 きさを 測 ることができる 一 方 プロジェクトの 場 合 実 務 的 に 契 約 書 を 作 成 締 結 する 者 ( 営 業 )と 実 際 に 契 約 を 履 行 する 当 事 者 (PM 及 びプロジェクトメンバー)は 異 なっていることが 多 く 契 約 内 容 に 対 する 認 識 違 いも 発 生 しやすい 更 に 契 約 内 容 は 契 約 時 点 における 協 議 結 果 をまとめた 想 定 であるため 契 約 時 点 では 明 確 にできない 実 現 性 により 書 面 で 表 現 できない など すべての 事 象 を 網 羅 できない 可 能 性 がある そのため 契 約 を 履 行 していく 中 で 契 約 書 で 明 記 されていない または 実 態 と 乖 離 し ているリスクを 発 見 した 際 は 当 事 者 間 で 認 識 を 合 わせることが 重 要 となってくる 契 約 書 によるリスク 発 見 は プロジェクトの 前 提 条 件 やお 客 様 要 件 を 確 認 する 観 点 では 有 効 である ものの 契 約 書 には 記 述 がない 具 体 的 な 対 応 策 に 関 連 するリスクまでは 発 見 することができない 4.プロジェクトにおけるリスク 発 見 4.1 セキュリティリスクの 把 握 4.1.1 セキュリティリスクとは 当 社 では 大 まかなリスク 範 囲 を 把 握 するための 基 準 として 個 人 情 報 の 取 り 扱 い 機 密 情 報 の 取 り 扱 い 本 番 環 境 アクセス をセキュリティリスクと 定 義 している 図 4は セキュリティリ スクの 組 み 合 わせ( 取 り 扱 う 情 報 の 有 無 とアクセス 環 境 の 違 い)によって 必 要 な 対 応 策 が 変 わるこ とを 整 理 したものである まずは プロジェクトにおける 必 要 な 対 応 策 を 特 定 するために セキュリ ティリスクを 把 握 することが 重 要 となる 取 り 扱 う 情 報 アクセス 環 境 個 人 情 報 / 機 密 情 報 なし なし 開 発 環 境 テスト 環 境 / 本 番 環 境 プロジェクト 着 任 離 任 時 の 対 応 アプリケーション 一 覧 表 ユーザーID/アクセス 権 管 理 職 務 権 限 分 離 本 番 更 新 管 理 プロジェクト 情 報 管 理 台 帳 プロジェクト 着 任 離 任 時 の 対 応 個 人 情 報 / 機 密 情 報 あり アプリケーション 一 覧 表 ユーザーID/アクセス 権 管 理 職 務 権 限 分 離 本 番 更 新 管 理 /データコピー 対 応 図 4.セキュリティリスクと 必 要 な 対 応 策 10
4.1.2 チェックシートによる 自 動 判 定 セキュリティリスクと 必 要 な 対 応 策 をPMが 短 時 間 で 効 率 よく 把 握 できるように 当 社 では 図 5 に 示 すセキュリティリスク チェックシート( 以 下 SRC)を 採 用 している 具 体 的 には 取 り 扱 う 情 報 やプロジェクト 作 業 に 関 する 設 問 に 答 えていくと プロジェクトが 保 有 するセキュリティリス クと 必 要 な 対 応 策 が 自 動 的 に 総 合 判 定 される 総 合 判 定 コスト 計 画 反 映 セキュリティリスク プロジェクトコストにセキュ 個 人 情 報 の 取 扱 有 リティ 管 理 コスト 5 を 織 り 込 みましたか? Yes 機 密 情 報 の 取 扱 無 本 番 環 境 アクセス 有 5 :シート[PSP 標 準 作 業 TRUE 時 間 ] 参 照 On/Off Boardingチェック 必 要 [5 章 ] 必 要 な 対 応 策 ユーサ ーIDリスト(ACL) 作 成 必 要 [6 章 ] アプリケーション 一 覧 表 必 要 [2 章 ] プロジェクトWPSチェック 必 要 [10 章 ] SODマトリックス 作 成 必 要 [9 章 ] 作 業 スケジュール 必 要 [13 章 ] プロジェクト 情 報 管 理 台 帳 必 要 [3 章 ] 本 番 データコピー 対 応 必 要 [8 章 ] アクセス 権 管 理 必 要 [6 章 ] 本 番 更 新 管 理 不 要 [7 章 ] リスク 管 理 必 要 [11 章 ] インシデント 対 応 必 要 [12 章 ] 図 5.SRCによる 必 要 な 対 応 策 の 自 動 判 定 1 一 方 SRCの 提 出 確 認 作 業 は ワークフロー 機 能 を 実 装 したPSP 管 理 DBを 使 用 して 効 率 よ く 一 元 管 理 している 更 に 毎 月 全 プロジェクトでのセキュリティリスク 保 有 状 況 を 集 計 把 握 することで 経 営 上 の 問 題 やリスクがないかを 組 織 全 体 として 評 価 している 4.2 業 務 上 の 必 要 性 確 認 プロジェクトにおける 作 業 は すべて 業 務 上 の 必 要 性 にもとづいていなければならない このこと から 作 業 に 不 必 要 な 状 況 や 無 関 係 な 状 態 を 発 見 していくことが 重 要 となる 4.2.1 プロジェクト 着 任 離 任 時 の 対 応 プロジェクトに 参 加 するすべてのプロジェクトメンバーは まず プロジェクト 固 有 説 明 会 を 受 講 している この 説 明 会 により 取 り 扱 う 情 報 の 重 要 性 やセキュリティに 関 する 遵 守 事 項 を 理 解 するこ とになる つぎに 図 6に 示 す 着 任 離 任 時 チェックシートにて 着 任 時 に 実 施 しなければならない 項 目 を 漏 れなく 実 施 したことを 確 認 している 離 任 時 も 同 様 に 貸 与 物 や 情 報 の 返 却 ユーザーID の 削 除 などの 実 施 を 確 実 に 行 うため 着 任 離 任 時 チェックシートにて 確 認 している 11
着 任 したメンバー 情 報 を 記 載 再 委 託 先 社 員 の 場 合 所 属 部 署 名 に 会 社 名 を 記 入 すべて 重 要 な 項 目 いいえ N/Aとなった 項 目 は 必 ず 改 善 策 や 理 由 を 記 入 上 記 チェック 完 了 後 着 任 者 は 本 人 欄 に 署 名 もしくは 捺 印 を 行 い 実 施 日 を 記 入 PMは 内 容 を 確 認 し 確 認 者 欄 に 署 名 もしくは 捺 印 を 行 い 確 認 日 を 記 入 図 6. 着 任 離 任 時 チェックシートの 具 体 例 着 任 離 任 時 の 確 認 は 情 報 漏 えいリスクを 軽 減 するために 不 可 欠 な 対 応 である 4.2.2 ユーザーID/アクセス 権 管 理 適 切 にユーザーID/アクセス 権 を 管 理 することは 事 件 事 故 発 生 時 の 使 用 者 の 特 定 あるいは プロジェクトメンバーにおけるアクセス 権 の 健 全 性 を 担 保 する 当 社 では リスクを 軽 減 できる 有 効 な 手 段 として 下 記 のような 基 本 方 針 を 定 めて ユーザーIDやアクセス 権 を 付 与 している 業 務 を 遂 行 する 上 で 最 小 限 のアクセス 権 とする( 必 要 以 上 の 権 限 を 持 たない) 本 番 環 境 で 更 新 権 限 以 上 のアクセス 権 を 極 力 使 用 しない 本 番 環 境 で 恒 久 的 なアクセス 権 は 極 力 使 用 しない 共 用 IDの 使 用 は 原 則 禁 止 する 共 用 IDは 原 則 委 託 元 と 委 託 先 で 同 じIDを 使 用 しない UNIX 系 OSで root 権 限 ユーザーからのsuは 禁 止 する また 付 与 したユーザーIDやアクセス 権 は ユーザーIDリストを 作 成 し 誰 が どのシステム に 対 して どのような 権 限 のユーザーIDを 使 用 している(していた)かについて 管 理 する 現 実 には お 客 様 ごとにセキュリティポリシーが 異 なる システム 環 境 の 持 ち 方 が 違 う お 客 様 の 要 望 による 共 用 ID 使 用 などにより 基 本 方 針 とおりにならないこともある プロジェクト では 基 本 方 針 に 従 えない 部 分 をリスクとして 認 識 し お 客 様 と 適 時 にリスクを 共 有 している 12
4.2.3 職 務 権 限 分 離 職 務 権 限 分 離 は 会 社 の 資 産 の 誤 用 悪 用 流 用 を 許 すような 責 任 や 権 限 を 同 一 個 人 に 与 えない ことによる 内 部 統 制 を 目 的 としている 職 務 権 限 分 離 のために 重 要 な 作 業 が 権 限 矛 盾 分 析 である 権 限 矛 盾 分 析 では 複 数 作 業 に 対 し 責 任 や 権 限 を 同 一 個 人 に 与 えることによって 発 生 するリスクを 軽 減 し 権 限 矛 盾 が 見 つかれば 二 次 管 理 (ログ 分 析 など リスクを 軽 減 するための 代 替 策 )を 行 うこ とを 定 義 して 予 防 的 管 理 を 行 う 具 体 的 には アプリケーション 単 位 に 権 限 矛 盾 分 析 マトリックスを 用 いて 下 記 の 観 点 を 考 慮 し 役 割 体 制 を 確 立 する 同 一 個 人 が 複 数 のお 客 様 環 境 へアクセスしない ( 開 発 環 境 と 本 番 環 境 テスト 環 境 と 本 番 環 境 など) 同 一 個 人 が 職 務 権 限 分 離 の 目 的 に 合 致 しない 作 業 を 実 施 しない ( 開 発 担 当 者 が 本 番 環 境 への 移 行 を 実 施 するなど) プロジェクトでは 誰 が どの 作 業 を 行 うのかを 表 した 体 制 表 や 誰 が システムにどのようなア クセス 権 限 を 持 っているかを 示 すユーザーIDリストを 使 用 して 役 割 とアクセス 権 の 両 面 から 分 析 している 更 に 本 来 の 役 割 だけでなく 付 与 されているアクセス 権 で 実 施 可 能 な 作 業 という 観 点 で も 分 析 を 実 施 することで 誤 用 悪 用 流 用 といったリスクを 軽 減 している 4.2.4 一 連 の 流 れによる 網 羅 的 な 確 認 プロジェクト 着 任 離 任 時 の 対 応 ユーザーID/アクセス 権 管 理 職 務 権 限 分 離 の 各 対 応 策 は 図 7に 示 す 一 連 の 流 れに 沿 って 網 羅 的 に 確 認 することで 作 業 に 不 必 要 な 状 況 や 無 関 係 な 状 態 を 発 見 しやすくなる 契 約 書 / 注 文 書 / 見 積 書 取 扱 情 報 プロジェクト 情 報 管 理 台 帳 プロジェクト 着 任 離 任 時 の 対 応 対 象 範 囲 プロジェクト 固 有 説 明 会 ユーザーID/アクセス 権 管 理 アプリケーション 一 覧 表 各 種 ユーザーID 申 請 書 元 情 報 ユーザーID リスト 着 任 離 任 時 チェックシート 職 務 権 限 分 離 役 割 アクセス 権 権 限 矛 盾 分 析 マトリックス 元 情 報 プロジェクトメンバー 一 覧 図 7. 業 務 上 の 必 要 性 を 確 認 する 一 連 の 流 れ 13
例 えば 下 記 のような 観 点 から 問 題 点 やリスクがないか 確 認 するとよい 実 際 の 作 業 場 所 とプロジェクトメンバー 数 は 契 約 内 容 と 矛 盾 がないか ユーザーIDやアクセス 権 の 付 与 が プロジェクト 固 有 説 明 会 の 実 施 日 以 降 であるか プロジェクトメンバー 一 覧 上 の 着 任 者 以 外 が ユーザーIDリストに 存 在 しないか プロジェクトメンバー 一 覧 上 の 離 任 者 は ユーザーIDリストで 無 効 化 されているか アプリケーション 一 覧 表 のアプリケーションごとにユーザーIDリストを 管 理 しているか アプリケーション 一 覧 表 のアプリケーションごとに 権 限 矛 盾 分 析 をしているか 付 与 されているアクセス 権 で 実 施 可 能 な 作 業 という 観 点 で 権 限 矛 盾 分 析 をしているか 4.3 お 客 様 への 報 告 プロジェクトでは プロジェクトを 実 施 する 過 程 で 発 見 したリスクについて 図 8に 示 すリスク 一 覧 表 に 記 入 して リスクの 回 避 / 緩 和 策 (アクション)を 検 討 している 更 に お 客 様 と 共 有 すべき リスクについては その 管 理 状 況 と 合 わせて 都 度 お 客 様 に 報 告 を 行 い リスクを 共 有 している お 客 様 への 報 告 では アクションの 対 応 可 否 を 具 体 的 に 協 議 するとともに アクションを 対 応 した 後 に 残 る 懸 念 事 項 ( 残 存 リスク)についても 確 認 している なお お 客 様 とリスクを 共 有 した 際 下 記 の 実 施 記 録 を 残 すことが 重 要 である お 客 様 ご 説 明 資 料 (リスクに 関 連 する 資 料 リスク 一 覧 表 など) お 客 様 との 議 事 録 ( 出 席 者 一 覧 コメントなど) お 客 様 に 議 事 録 の 確 認 をお 願 いした 記 録 ( 確 認 依 頼 メールなど) 議 事 録 の 確 認 依 頼 に 対 するお 客 様 の 回 答 ( 確 認 依 頼 メールへの 返 答 など) No 分 類 リスク 内 容 発 生 日 発 見 者 1 お 客 様 へ アプリケーション 一 覧 表 について お の 確 認 客 様 への 確 認 が 実 施 できていないた め 作 業 範 囲 と 合 致 していない 可 能 性 があり データ 漏 えいの 可 能 性 が 高 まる 2 必 要 以 上 の 権 限 3 共 用 IDの 使 用 4 パスワー ド 変 更 5 職 務 権 限 分 離 開 発 担 当 者 が 本 番 環 境 で 更 新 権 限 のあるユーザーIDを 常 時 使 用 してい るため 開 発 テスト 環 境 と 本 番 環 境 の 取 り 違 えなどによる 誤 操 作 により 本 番 環 境 のプログラムやデータが 変 更 / 削 除 されてしまう 可 能 性 がある 事 象 は 具 体 的 に 記 入 本 番 環 境 で 共 用 IDを 使 用 しているた め 作 業 を 実 施 した 個 人 の 特 定 がで きず お 客 様 要 求 のないシステム 変 更 やデータ 漏 えいが 発 生 する 可 能 性 が 高 まる 共 用 IDのパスワードが 共 用 ID 利 用 者 の 離 任 都 度 変 更 できていないた め 不 正 使 用 される 可 能 性 がある 内 部 設 計 プログラミング 作 業 担 当 者 と 本 番 移 行 作 業 の 実 施 およ び 本 番 環 境 プログラムコードへの 更 新 本 番 データ 更 新 の 実 施 およ び 本 番 環 境 データ パラメータまた はDB 構 造 の 更 新 および バッチ ジョブの 実 行 担 当 者 が 重 複 している ため プログラム 及 びデータの 改 ざ んや 情 報 漏 えいが 発 見 されないリス クが 高 まる リスク レベル 回 避 / 緩 和 策 (アクション) 2011/12/12 神 戸 太 郎 H アプリケーション 一 覧 表 をお 客 様 に 確 認 して 頂 き 内 容 に 問 題 がなけれ ば お 客 様 に 署 名 または 捺 印 して 頂 く 2012/02/02 神 戸 太 郎 M 貸 出 IDに 変 更 できるものを 洗 い 出 し 可 能 なものは 速 やかに 貸 出 IDに 切 り 替 え 常 時 使 用 しない アクセス 可 能 者 は 必 要 最 小 限 にと どめる アクセス 可 能 者 はACLにて 常 に 把 握 し 不 要 になれば 速 やかにIDを 削 除 する 本 番 環 境 と 開 発 テスト 環 境 のユー ザーID パスワードを 別 な 物 に 変 更 し 取 り 違 えを 防 ぐ 2012/03/03 神 戸 太 郎 M 個 人 IDに 変 更 できるものを 洗 い 出 し 可 能 なものは 速 やかに 個 人 IDに 切 り 替 える 共 用 IDのまま 運 用 する 場 合 共 用 IDの 使 用 者 毎 の 利 用 状 況 を 記 録 す る 2012/03/03 神 戸 太 郎 M 共 用 IDのパスワードは 定 期 的 (3ヶ 月 毎 )に 変 更 を 実 施 する 2012/05/10 神 戸 太 郎 M 現 在 のメンバー 数 作 業 量 に 鑑 み 現 状 の 運 用 を 続 ける 実 施 責 任 者 実 施 期 限 状 況 /コメント クローズ 日 神 戸 太 郎 2012/01/31 次 月 報 告 会 で 確 認 して 頂 く 予 定 神 戸 太 郎 2012/02/28 次 月 報 告 会 にて 説 明 予 定 貸 出 IDはお 客 様 にとっ ても 負 担 となる 可 能 性 があるため そのことも 含 めて 説 明 する 神 戸 太 郎 2012/03/31 次 月 報 告 会 にて 説 明 予 定 共 用 IDについてはシス テム 制 約 上 どうしても 避 けられない 部 分 が 発 生 する 神 戸 太 郎 2012/03/31 次 月 報 告 会 にて 説 明 予 定 対 応 結 果 / 残 存 リスク 2012/01/27 内 容 に 問 題 はなく お 客 様 に 署 名 を 頂 いた (2012/1/27) 残 存 リスク:なし 2012/02/25 2 月 度 月 次 報 告 会 にてお 客 様 にリ スクと 緩 和 策 および 残 存 リスクを 説 明 (2012/02/25) 残 存 リスク: 引 き 続 き 開 発 担 当 者 が 本 番 環 境 で 更 新 権 限 のあるユー ザーIDを 常 時 使 用 するが 緩 和 策 を 実 施 することにより リスクは 限 定 的 と 考 える 一 つの 回 避 / 緩 和 策 でリスク 軽 減 が 不 十 分 な 場 合 は 追 加 の 回 避 / 緩 和 策 を 講 じる 残 存 リスク( 対 応 後 の 懸 念 事 項 )があれば 明 記 2012/03/26 3 月 度 月 次 報 告 会 にてお 客 様 にリ スクと 緩 和 策 および 残 存 リスクを 説 明 (2012/03/26) 2012 年 3 月 15 日 に 個 人 IDに 変 更 可 能 なものは 個 人 IDに 変 更 済 み 残 存 リスク: 緩 和 策 を 実 施 すること により リスクは 限 定 的 と 考 える 2012/03/26 3 月 度 月 次 報 告 会 にてお 客 様 にリ スクと 緩 和 策 および 残 存 リスクを 説 明 (2012/03/26) 残 存 リスク: 離 任 者 が 意 図 的 に 共 用 IDを 使 用 した 場 合 は 最 大 3ヶ 月 ア クセスが 可 能 となる 神 戸 太 郎 2012/05/31 お 客 様 にリスクを 説 明 して 現 状 の 運 用 に 理 解 を 頂 く 残 存 リスク: 現 状 のリスクと 同 じ クローズしていないリスクは 想 定 される 残 存 リスクを 記 入 図 8.リスク 一 覧 表 の 具 体 例 14
4.4 プロジェクトにおけるリスク 発 見 の 限 界 プロジェクトにおけるリスク 発 見 は プロジェクトの 当 事 者 が 業 務 上 の 必 要 性 にもとづいて 確 認 実 施 するため 具 体 的 な 対 応 策 に 関 連 するリスクを 適 時 に 発 見 できる また 発 見 したリスクとその 管 理 状 況 についても お 客 様 へ 報 告 することで 適 時 にリスクを 共 有 できる 今 までの 実 績 から プロジェクトの 経 験 知 識 があるPMは プロジェクト 全 体 を 見 渡 し 業 務 上 の 必 要 性 を 一 連 の 流 れに 沿 って 網 羅 的 に 確 認 できていることが 多 い 一 方 プロジェクトの 経 験 が 浅 いPMは プロジェクト 全 体 をつかまず 各 対 応 策 の 実 施 のみに 集 中 する 傾 向 があるため 適 時 にリ スクを 発 見 共 有 できていないことが 多 い プロジェクトにおけるリスク 発 見 の 力 量 は PMの 経 験 によって 左 右 する 特 に 初 めてセキュリ ティ 管 理 を 実 施 するPMは 大 局 的 な 見 方 ができていないため 潜 在 的 なリスクは 発 見 されないまま となる 5. 組 織 におけるリスク 発 見 5.1 業 務 に 組 み 込 んで 行 う 日 常 的 モニタリング 業 務 に 組 み 込 んで 行 う 点 検 やレビューは 日 常 の 運 用 状 況 を 確 認 するために 有 効 であるとともに 発 見 された 問 題 点 やリスクに 対 して 適 時 適 切 な 対 応 をとっていくことが 可 能 となる 5.1.1 SMEレビューによる 包 括 的 な 点 検 当 社 では プロジェクトセキュリティ 管 理 の 実 施 を 支 援 する 専 門 家 として SME(Subject Matter Expert)を 配 置 している そして リスク 有 無 と 規 模 を 考 慮 して SRCのセキュリティリスクが 有 かつ 契 約 の 平 均 月 額 が 50 万 円 以 上 のプロジェクトを 対 象 にSMEによるレビューを 半 年 ごとに 実 施 している SMEレビューでは PMがプロジェクトで 実 施 すべき 対 応 策 を 適 切 に 導 入 し 運 用 しているかを 確 認 する 具 体 的 には 契 約 書 からセキュリティ 管 理 資 料 までを 包 括 的 に 点 検 すること で 不 備 不 足 不 整 合 の 指 摘 を 行 い プロジェクトに 潜 んでいるリスクを 発 見 していく 更 に 発 見 したリスクについては SMEがアクションの 立 案 や 指 導 を 行 い リスク 軽 減 に 努 めている なお 新 しいセキュリティ 要 件 が 追 加 された 時 は プロジェクトでは 気 づかないこともあるため SMEは 当 該 レビューの 中 でリスクを 説 明 し PMを 指 導 する 役 割 も 担 っている 5.1.2 月 次 報 告 によるマネジメントレビュー 月 次 報 告 とは PMが 記 入 した 報 告 書 を 所 属 長 が 翌 月 の 月 初 5 労 働 日 までに 承 認 するマネジメント レビューである また SMEがレビューしたプロジェクトについては 所 属 長 の 承 認 後 SMEが 下 記 の 観 点 で 各 作 業 の 実 施 完 了 及 び 実 施 結 果 の 確 認 を 行 っている 当 月 に 実 施 するべき すべてのセキュリティ 管 理 の 資 料 が 揃 っているか すべてのセキュリティ 管 理 の 資 料 は 事 実 と 一 致 しており 漏 れや 間 違 いがないか 月 次 報 告 の 確 認 で 問 題 点 やリスクが 発 見 された 場 合 PMは 所 属 長 やSMEからの 指 摘 事 項 に 対 して 適 切 な 対 応 をとっていく 15
5.1.3 SMEレビューでの 指 摘 事 項 フォロー SMEは レビューでの 指 摘 事 項 について 前 項 の 月 次 報 告 の 中 で 完 了 状 況 を 確 認 することで 図 9 に 示 すとおり 解 決 するまで 確 実 に 支 援 している 実 施 月 N 月 レビュー 実 施 記 録 指 摘 事 項 レビューでの 指 摘 事 項 の 完 了 状 況 N+1 月 転 記 (N 月 ) 月 次 報 告 指 摘 事 項 N+2 月 転 記 (N+1 月 ) 月 次 報 告 指 摘 事 項 図 9.レビューでの 指 摘 事 項 を 月 次 報 告 でフォローする 仕 組 み この 仕 組 みは 何 らかの 理 由 で 対 応 が 数 ヶ 月 かかる 場 合 でも 毎 月 の 月 次 報 告 で 最 新 状 況 をマネジ メントと 共 有 しながら 解 決 することができるため 有 用 性 の 高 いフォロー 方 法 である 5.2 業 務 から 独 立 した 視 点 で 行 う 独 立 的 評 価 日 常 的 モニタリングでは 発 見 できない 問 題 点 やリスクがないかを 経 営 的 な 視 点 から 評 価 するため 定 期 的 に 行 われるものが 独 立 的 評 価 である 5.2.1 経 営 幹 部 によるマネジメントレビュー 経 営 幹 部 は 組 織 全 体 のリーダーとしてセキュリティ 管 理 の 運 用 に 最 終 的 な 責 任 を 有 している ま た 経 営 会 議 の 中 で 主 管 部 門 に 適 切 な 指 示 を 行 い その 結 果 を 監 視 することによって マネジメント レビューを 行 うこととなる 当 該 レビューの 中 で 活 動 目 標 や 活 動 結 果 の 承 認 運 用 状 況 の 評 価 を 行 い 経 営 幹 部 が 主 導 することで 当 事 者 意 識 を 組 織 内 に 徹 底 させることが 可 能 となる 5.2.2 二 段 構 えの 内 部 監 査 内 部 監 査 は 組 織 全 体 におけるセキュリティ 管 理 が 適 切 に 機 能 していることを 独 立 した 第 三 者 によ って 定 期 的 に 実 証 するものである 当 社 では 表 3に 示 すとおり 当 社 による 内 部 監 査 と 親 会 社 による 内 部 監 査 の 二 段 構 えで 問 題 点 やリスクを 発 見 して 適 時 に 是 正 を 行 っている 16
表 3. 二 段 構 えの 内 部 監 査 における 相 違 点 当 社 による 内 部 監 査 親 会 社 による 内 部 監 査 実 施 部 門 本 社 部 門 親 会 社 の 監 査 部 門 実 施 期 間 四 半 期 ごとに 約 1ヶ 月 数 年 ごとに 約 2ヶ 月 評 価 内 容 運 用 状 況 整 備 状 況 及 び 運 用 状 況 是 正 対 応 プロジェクト 本 社 部 門 及 びプロジェクト 当 社 による 内 部 監 査 では SMEレビュー 対 象 のプロジェクトから5 件 をサンプリングして 運 用 状 況 を 検 証 することにより 日 常 的 モニタリングの 実 効 性 を 確 認 している 一 方 親 会 社 による 内 部 監 査 では セキュリティ 管 理 の 整 備 状 況 及 び 運 用 状 況 に 加 えて 当 社 による 内 部 監 査 の 妥 当 性 も 評 価 することにより 当 社 の 健 全 性 を 監 視 している 5.3 当 事 者 からの 24 時 間 以 内 報 告 インシデント 発 生 後 24 時 間 以 内 に 当 事 者 ( 再 委 託 先 社 員 の 場 合 PMへ 一 報 報 告 を 受 けたPM) が 所 属 長 に 報 告 することを 起 点 にして 組 織 全 体 で 緊 急 対 応 していくのが 図 10に 示 すインシデン ト 発 生 時 の 対 応 である 当 事 者 からの 報 告 をもとに 組 織 として 的 確 に 事 象 を 認 識 し その 対 応 対 策 方 針 を 判 断 し その 事 象 のレベルに 応 じた 適 切 かつ 迅 速 な 対 応 対 策 を 実 施 することが 被 害 の 最 小 化 影 響 の 拡 大 防 止 に 繋 がる 2011 年 当 社 における 24 時 間 以 内 に 当 事 者 から 報 告 された 比 率 は 約 50%だった その 後 2013 年 には 約 69%へ 上 昇 しているため ある 程 度 一 人 ひとり の 当 事 者 意 識 が 浸 透 してきていると 言 えるだろう 図 10.インシデント 発 生 時 の 対 応 7 17
5.4 組 織 におけるリスク 発 見 の 限 界 組 織 におけるリスク 発 見 は 第 三 者 による 点 検 確 認 評 価 監 視 によって 潜 在 的 な 問 題 点 やリ スクを 適 時 に 発 見 できる 更 に 適 切 な 是 正 対 応 をPMに 指 導 することで 当 事 者 意 識 の 醸 成 セキ ュリティ 管 理 の 徹 底 情 報 漏 えいリスクの 軽 減 といった 効 果 をもたらす このように 組 織 における リスク 発 見 は 一 見 よいことづくめであるが 当 事 者 の 資 質 により 効 果 が 異 なる まず 点 検 確 認 評 価 監 視 される 側 のPMが 正 直 であることが 前 提 となる よくある 事 例 とし て 日 常 的 モニタリングでは PMから できている と 報 告 を 受 けていたことが 内 部 監 査 になる と 隠 しきれなくなるためか 実 は と 事 実 が 露 見 するのである できていないことは で きていない と ありのままで 報 告 する 正 直 さがPMには 求 められる つぎに 点 検 確 認 評 価 監 視 する 側 の 第 三 者 が 表 面 的 な 形 式 のみを 見 るのではなく リスク 発 見 の 本 質 を 理 解 できていることが 必 要 不 可 欠 である リスク 発 見 の 本 質 は 正 しいことを 行 って いるかどうかを 見 抜 くこと にあると 考 える ルールに 従 い プロセスを 守 って 正 しく 管 理 できて いることを 見 るのは 第 三 者 として 当 然 だが 状 況 に 応 じて 正 しいことを 行 うように PMに 指 導 でき るかどうかは 第 三 者 がリスク 発 見 の 本 質 を 理 解 できているかにかかっている 組 織 におけるリスク 発 見 は PMによる 嘘 の 報 告 や 第 三 者 による 表 面 的 な 判 断 が 組 織 内 に 蔓 延 する と 牽 制 機 能 が 働 かなくなるため 無 力 化 してしまう 18
6.リスク 発 見 アプローチの 有 効 性 6.1 リスクを 発 見 するための7つのステップ 前 述 してきた 契 約 書 プロジェクト 組 織 におけるリスク 発 見 は 各 観 点 のみで 見 るとおのおの 限 界 がある しかし 相 互 に 連 動 することで プロジェクトでは 気 づかないリスクが 発 見 しやすくなる この 相 互 連 動 をまとめると 図 11のプロジェクト 単 位 で 実 践 するリスク 発 見 アプローチとなる プロジェクト 契 約 書 / 注 文 書 / 見 積 書 1 契 約 書 の 確 認 前 提 条 件 お 客 様 要 件 必 要 な 対 応 策 の 判 定 インシデント 7 24 時 間 以 内 に 報 告 SRC 2 セキュリティ リスクの 把 握 リスク 発 見 セキュリティ 管 理 資 料 3 業 務 上 の 必 要 性 確 認 リスク 共 有 5 日 常 的 モニタリング リスク 発 見 リスク 一 覧 表 4 お 客 様 への 報 告 6 独 立 的 評 価 リスク 発 見 図 11.プロジェクト 単 位 で 実 践 するリスク 発 見 アプローチ 更 に リスク 発 見 アプローチは 7つのステップに 体 系 化 できる 1 契 約 書 の 確 認 適 切 なセキュリティ 管 理 を 実 施 していくために 前 提 条 件 やお 客 様 要 件 を 確 認 する 2 セキュリティリスクの 把 握 SRCを 用 いて セキュリティリスクと 必 要 な 対 応 策 を 判 定 する 3 業 務 上 の 必 要 性 確 認 役 割 や 責 任 の 妥 当 性 個 人 への 権 限 集 中 の 観 点 で 必 要 性 を 確 認 して リスクを 発 見 する 4 お 客 様 への 報 告 発 見 したリスクとその 管 理 状 況 について お 客 様 へ 報 告 することで リスクを 共 有 する 5 日 常 的 モニタリング レビューによる 包 括 的 な 点 検 や 月 次 報 告 の 中 で 実 施 状 況 を 確 認 して リスクを 発 見 する 6 独 立 的 評 価 内 部 監 査 や 経 営 会 議 の 中 で 整 備 状 況 及 び 運 用 状 況 の 評 価 を 行 い リスクを 発 見 する 19
7 24 時 間 以 内 に 報 告 インシデント 発 生 やその 可 能 性 がある 場 合 当 事 者 は 24 時 間 以 内 に 所 属 長 へ 報 告 する なお 7つ 目 のステップは 事 後 対 策 として 必 要 ではあるが 6つ 目 までのステップの 中 で 早 期 に リスクを 発 見 して 適 切 に 管 理 することにより なくしたいものである 6.2 リスク 発 見 アプローチの 評 価 2014 年 11 月 現 在 リスク 発 見 アプローチを 実 践 している 当 社 の113プロジェクトにおいて 発 見 できたリスクの 総 数 は622 件 であった 表 4は 発 見 できたリスクを 分 類 別 に 集 計 した 結 果 で ある トップ5のうち 職 務 権 限 分 離 共 用 IDの 使 用 必 要 以 上 の 権 限 パスワード 変 更 で 全 体 の 約 60%を 占 めており ユーザーID/アクセス 権 に 関 係 するリスクの 比 率 が 高 いことがわかる 1 2 3 4 5 表 4. 発 見 できたリスクのトップ5(2014 年 11 月 現 在 ) 分 類 リスク 内 容 ( 例 ) 職 務 権 限 分 離 191 件 (31%) お 客 様 への 確 認 133 件 (21%) 共 用 IDの 使 用 92 件 (15%) 必 要 以 上 の 権 限 59 件 (9%) パスワード 変 更 42 件 (7%) 内 部 設 計 プログラミング 作 業 担 当 者 と 本 番 環 境 プログラムコードへ の 更 新 や 本 番 データ 更 新 の 実 施 担 当 者 が 重 複 しているため プログラ ム 及 びデータの 改 ざんや 情 報 漏 えいが 発 見 されないリスクが 高 まる アプリケーション 一 覧 表 について お 客 様 への 確 認 が 実 施 できていな いため 作 業 範 囲 と 合 致 していない 可 能 性 があり データ 漏 えいの 可 能 性 が 高 まる 本 番 環 境 で 共 用 IDを 使 用 しているため 作 業 を 実 施 した 個 人 の 特 定 ができず お 客 様 要 求 のないシステム 変 更 やデータ 漏 えいが 発 生 する 危 険 性 がある 本 番 環 境 に 更 新 権 限 のあるユーザーIDを 常 時 保 有 しているため 開 発 テスト 環 境 と 本 番 環 境 を 万 が 一 取 り 違 えてしまう 誤 操 作 により 本 番 環 境 のデータが 変 更 削 除 されてしまう 可 能 性 がある root 権 限 ユーザー Administratorユーザーのパス ワードが 変 更 できない 環 境 にあるため パスワードの 漏 えい 推 測 に よる 不 正 アクセスが 発 生 する 可 能 性 が 高 まる 一 方 113プロジェクトのうち リスクがなかったプロジェクトは5 件 ( 約 4.4%)であった 発 見 できたリスクの 総 数 をリスクがあったプロジェクト 数 で 割 ると 1プロジェクトあたりの 平 均 リ スク 数 は 約 5.8 件 となる 2011 年 にリスク 発 見 アプローチを 開 始 した 当 初 1プロジェクト あたりで 発 見 できた 平 均 リスク 数 は 約 2 件 であった 当 時 発 見 できたリスクは お 客 様 への 確 認 とパスワード 変 更 に 偏 っていた 振 り 返 ってみると 現 在 の 倍 近 くに 相 当 するSMEを 配 置 していた が 発 見 すべきリスクに 漏 れがあったのである 2014 年 11 月 現 在 各 プロジェクトにおいて 平 均 にして6 件 近 くのリスクを 発 見 できている ことは リスク 発 見 アプローチが 有 効 に 機 能 し 定 着 している 結 果 と 考 えている 20
6.3 今 後 の 課 題 全 体 としては 有 効 に 機 能 しているプロジェクト 単 位 で 実 践 するリスク 発 見 アプローチではあるが その 要 因 は 特 に2セキュリティリスクの 把 握 と5 日 常 的 モニタリングに 依 存 している 2セキュリ ティリスクの 把 握 は PSP 管 理 DBを 導 入 していることもあり 適 時 に 把 握 することができている また 5 日 常 的 モニタリングは SMEによる 包 括 的 な 点 検 や 指 摘 事 項 フォローなどにより プロジ ェクトにおける 適 時 適 切 な 対 応 に 寄 与 している 一 方 1 契 約 書 の 確 認 と3 業 務 上 の 必 要 性 確 認 は 5 日 常 的 モニタリングの 中 でSMEにて 実 施 し ているのが 現 状 である 本 来 1 契 約 書 の 確 認 と3 業 務 上 の 必 要 性 確 認 は プロジェクト 内 で 積 極 的 に 実 施 していただきたい 内 容 であるため この2ステップを 強 化 して 最 後 は プロジェクト 自 ら リスクを 発 見 できるようになること が 今 後 の 課 題 である もし 現 在 たずさわっているプロジェクトの 契 約 書 をまだ 読 んでいない 方 がいれば 今 すぐ 契 約 書 を 確 認 することを 勧 める きっと プロジェクトに 潜 む 情 報 漏 えいリスクを 発 見 する 糸 口 をつかむ ことになるであろう 7.おわりに 本 事 例 では 情 報 漏 えいリスクの 早 期 発 見 という 課 題 を 解 決 するために 時 間 とコストをかけずに 実 施 できる 大 まかなリスク 範 囲 を 把 握 した 上 で 重 点 領 域 を 確 認 する 方 法 を 採 用 した 大 まかなリ スク 範 囲 を 把 握 するための 基 準 として 個 人 情 報 の 取 り 扱 い 機 密 情 報 の 取 り 扱 い 本 番 環 境 アクセス をセキュリティリスクと 定 義 した 更 に セキュリティリスクの 組 み 合 わせによって 必 要 な 対 応 策 を 特 定 できるノウハウをチェックシート 化 したことで リスクの 早 期 発 見 を 実 現 している 本 事 例 を 通 じて 気 づいたことは 第 三 者 によるリスク 発 見 は 確 実 に 有 効 であるものの リスクを 発 見 するまでに 一 定 の 時 間 を 要 するため プロジェクトの 当 事 者 によるリスク 発 見 こそが 最 短 距 離 で 対 応 できることである 当 社 は これからも 一 人 ひとりが 当 事 者 意 識 をもって プロジェクト 単 位 で 実 践 するリスク 発 見 アプローチを 実 施 していくことにより ヒューマンエラーに 起 因 する 情 報 漏 えい リスクを 軽 減 していく 21
参 考 文 献 1. 髙 橋 重 光 第 52 回 IBM ユーザー シンポジウム 論 文 集 / お 客 様 の 情 報 資 産 を 守 るプロジェクト セキュリティ 管 理 手 法 の 運 用 定 着 化 2014 年 5 月 発 行 2. 株 式 会 社 ベネッセホールディングス 個 人 情 報 漏 えい 事 故 調 査 委 員 会 による 調 査 結 果 のお 知 らせ / 個 人 情 報 漏 えい 事 故 調 査 委 員 会 による 調 査 報 告 について 2014 年 9 月 25 日 http://blog.benesse.ne.jp/bh/ja/news/m/2014/09/25/docs/20140925 リリース.pdf 3. NPO 日 本 ネットワークセキュリティ 協 会 2012 年 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 ~ 個 人 情 報 漏 えい 編 ~ 第 1.1 版 2014 年 7 月 7 日 http://www.jnsa.org/result/incident/data/2012incident_survey_ver1.1.pdf 4. 社 団 法 人 日 本 内 部 監 査 協 会 IT 監 査 とIT 統 制 - 基 礎 から 事 業 継 続 ネットワーク クラウ ドまで- 同 文 舘 出 版 2012 年 9 月 25 日 発 行 5. 経 済 産 業 省 営 業 秘 密 管 理 指 針 参 考 資 料 2: 各 種 契 約 書 の 参 考 例 2011 年 12 月 1 日 http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/20111201sankou2.pdf 6. 企 業 会 計 審 議 会 財 務 報 告 に 係 る 内 部 統 制 の 評 価 及 び 監 査 の 基 準 並 びに 財 務 報 告 に 係 る 内 部 統 制 の 評 価 及 び 監 査 に 関 する 実 施 基 準 の 改 訂 について( 意 見 書 ) 2011 年 3 月 30 日 http://www.fsa.go.jp/singi/singi_kigyou/tosin/20110330/01.pdf 7. コベルコシステム 株 式 会 社 CSRレポート2014 2014 年 4 月 発 行 http://www.kobelcosys.co.jp/pdf/csr/csr2014.pdf 22