Comments
Description
Transcript
内部不正を防止するために企業は何を行うべきなのか
内部不正を防止するために企業は何を行うべきなのか 2015/2/26 株式会社 日立ソリューションズ ハイブリットインテグレーションセンタ プロダクト戦略部 第2グループ 部長代理 中川 克幸 © Hitachi Solutions, Ltd. 2015. All rights reserved. Contents 1. 最近のセキュリティ事件・事故 2. 経済産業省からの周知徹底要請 3. 内部不正を防ぐための管理のあり方 4. 参考になりそうなガイドライン © Hitachi Solutions, Ltd. 2015. All rights reserved. 1 1.最近のセキュリティ事件・事故 © Hitachi Solutions, Ltd. 2015. All rights reserved. 最近のセキュリティ事件・事故 内部不正による情報漏洩の例 顧客データベースに接続し、名簿業者への販売目的で約2千万件の顧客情報を 私物のスマートフォンに転送。 社内PCからサーバにアクセスし、発売前の商品販売戦略に関する情報を不正な 利益を得る目的で私物のハードディスクにコピー 転職先での優位性を確保する目的で、勤務先で与えられた自らのIDでサーバに アクセスし、機密情報を記録媒体に無断でコピー。転職先に提供 内部不正事件の特徴 ■内部関係者による情報窃取の場合、漏洩規模が大きくなりやすい ■狙われるのは企業の競争力に関わる重要情報でzあることが多い ■業務上与えられた権限を悪用するため、見つけにくい ■スマートフォンなど私物の記録媒体により持ち出されている © Hitachi Solutions, Ltd. 2015. All rights reserved. 3 2014年のセキュリティ十大ニュース JNSAが「2014セキュリティ十大ニュース」を発表。 1位 9月25日 ベネッセ個人情報漏洩事故の調査報告書を公表 2位 11月6日 サイバーセキュリティ基本法が成立 3位 4月7日 Heartbleedなど脆弱性が多発(4,5月) 4位 8月1日 オンラインバンキング不正送金の被害急増 5位 11月13日 日本サイバー犯罪対策センター(JC3)設立 6位 4月4日 警察庁、ビル管理システムの探索行為に注意を喚起 7位 10月1日 マイナンバー制度準備進む 8位 9月3日 POSマルウェアによる5600万件のカード情報流出が発覚 9位 9月17日 被害が止まらないパスワードリスト攻撃 10位 9月18日 DDoS攻撃業者を使ったオンラインゲームの業務妨害で高校生を書類送検 出典:http://www.jnsa.org/active/news10/ © Hitachi Solutions, Ltd. 2015. All rights reserved. 4 1位 ベネッセ個人情報漏洩事故の調査報告書を公表 個人情報漏洩事故調査委員会が、事故の経緯、漏洩した個人 情報件数、原因、再発防止策などをまとめ公表しました。 出典:http://itpro.nikkeibp.co.jp/atcl/news/14/092501068/ © Hitachi Solutions, Ltd. 2015. All rights reserved. 5 2,5位 サイバーセキュリティに関する基本法や組織成立 サイバー戦略の基盤となる「サイバーセキュリティ基本法」が 成立され、「日本サイバー犯罪対策センター(JC3)」も業務を 開始しました。 出典:http://itpro.nikkeibp.co.jp/atcl/esi/14/527562/103000002/ 出典:https://www.jc3.or.jp/media/pdf/pressrelease.pdf © Hitachi Solutions, Ltd. 2015. All rights reserved. 6 7位 マイナンバー制度準備進む 2016年1月より国民に一意的に個人番号を付番し、所得、納税、 社会保障に関する情報を一元的に管理される制度が始まります。 出典:http://www.cas.go.jp/jp/seisaku/bangoseido/ © Hitachi Solutions, Ltd. 2015. All rights reserved. 7 情報セキュリティ10大脅威 2015 IPAが2015年2月6日「情報セキュリティ10大脅威 2015」を公開。 今年は近年の情報セキュリティの重要性や変化の速さを考慮し、 順位を先行して公表(解説資料は3月に公開される予定)。 1位 オンラインバンキングやクレジットカード情報の不正利用 2位 内部不正による情報漏えい 3位 標的型攻撃による諜報活動 4位 ウェブサービスへの不正ログイン 5位 ウェブサービスからの顧客情報の窃取 6位 ハッカー集団によるサイバーテロ 7位 ウェブサイトの改ざん 8位 インターネット基盤技術の悪用 9位 脆弱性公表に伴う攻撃の発生 10位 悪意のあるスマートフォンアプリ 出典:https://www.ipa.go.jp/security/vuln/10threats2015.html © Hitachi Solutions, Ltd. 2015. All rights reserved. 8 2.経済産業省からの周知徹底要請 © Hitachi Solutions, Ltd. 2015. All rights reserved. 経済産業省からの周知徹底要請 経済産業省が、平成26年8月18日に、経済団体に対して 個人情報保護法等の遵守に関する周知徹底を要請しました。 出典:http://www.meti.go.jp/press/2014/08/20140818001/20140818001.html © Hitachi Solutions, Ltd. 2015. All rights reserved. 10 経済産業省からの周知徹底要請 「組織における内部不正防止ガイドライン」 (IPAより、2013年3月25日公開) © Hitachi Solutions, Ltd. 2015. All rights reserved. 11 IPA:「組織における内部不正防止ガイドライン」を改訂 平成26年9月26日に改訂し、公開されています。 以下の3点が強調されています。 1.経営層によるリーダーシップの強化 2.情報システム管理運用の委託における監督強化 3.高度化する情報通信技術への対応 ・スマートデバイス等による情報の持ち出しを抑止する対策 ・適切なアクセス権限の設定・管理、およびアクセスの監視 ・ログ活用による監視 本書は、以下のURLからダウンロードできます。 「組織における内部不正防止ガイドライン」 http://www.ipa.go.jp/files/000041054.pdf 出典:http://www.ipa.go.jp/about/press/20140926.html © Hitachi Solutions, Ltd. 2015. All rights reserved. 12 「内部不正防止ガイドライン」の使い方 内部不正防止ガイドラインには、自社のセキュリティ対策を 考える際の参考になる「付録」が掲載されています。 付録Ⅰ:内部不正事例集 3つの事例が追加されています。 付録Ⅱ:内部不正チェックシート 以下を強調するチェック項目に修正されています。 1.経営層によるリーダーシップの強化 2.情報システム管理運用の委託における監督強化 3.高度化する情報通信技術への対応 © Hitachi Solutions, Ltd. 2015. All rights reserved. 13 “時間がない人のための” ガイドラインの使い方 ガイドラインの 概要をつかむ 「1. 背景(3~5ページ)」 「2. 概要(6~10ページ)」 • 自社の現状を知る • 他社の事例を学ぶ 「付録Ⅱ:内部不正チェックシート(30項目)」 「付録Ⅰ:内部不正事例集(20事例)」 • リスクに気付く • 対策を検討する 「4. 内部不正を防ぐための管理のあり 方」 対策を実施する ・ ルールを決める/見直す ・ 周知、教育する ・ 必要に応じて、セキュリティツールを 導入する 継続的に見直す © Hitachi Solutions, Ltd. 2015. All rights reserved. 14 3.内部不正を防ぐための管理のあり方 © Hitachi Solutions, Ltd. 2015. All rights reserved. 「4. 内部不正のための管理のあり方」の内容 「4. 内部不正のための管理のあり方」では、 10の観点から30項目の対策が示されています。 4-1 4-2 4-3 4-4 4-5 4-6 4-7 4-8 4-9 4-10 基本方針 資産管理 物理的管理 技術・運用管理 証拠確保 人的管理 コンプライアンス 職場環境 事後対策 組織の管理 内部不正防止のために、特に重視したほうがよい観点です。 内部不正が発生した場合の事後の法的手続きを考慮すると、 4-2、4-6、4-7のリスクは許容しない方よいと記載されています。 (内部不正者に非があることを示すために必要な対策であるた め) © Hitachi Solutions, Ltd. 2014. All rights reserved. 16 「4-2 資産管理(秘密指定、アクセス権指定)」 企業における「資産管理」の例 情報資産目録の作成 重要度に応じた可視化 情報の所在を確認 し、情報資産目録を 作成する 人を制限 情報を重要度に 応じて格付けし、 マーク等を表示 する 行為を制限 限られた人だけが 重要情報にアクセス できるようにする 一人の管理者等に 権限を集中させない 対策しないと © Hitachi Solutions, Ltd. 2014. All rights reserved. 17 「4-2 資産管理(秘密指定、アクセス権指定)」 対策しないと…… 情報漏洩に気付かない 不正競争防止法の適用が困難に 情報の重要度を認識しておらず、 重要情報が漏洩しても気付かない 要件を満たせず、不正競争防止法 の適用が困難になる © Hitachi Solutions, Ltd. 2014. All rights reserved. 18 【ご参考】 不正競争防止法が適用されるための条件 不正競争防止法が適用されるための条件 不正競争防止法が適用されるには、該当する情報が「営業秘密」として管理されて いる必要がある。 「営業秘密」としての要件 不正競争 防止法 ① 有用な営業上又は技術上の情報であること (有用性) ② 公然と知られていないこと (非公知性) ③ 秘密として管理されていること (秘密管理性) ・ 情報にアクセスできる者を制限すること ・ 情報にアクセスした者にそれが秘密であると認識できること 2009年に発生した情報漏洩事件をきっかけとして、翌年一部改正。 (不正競争以外の目的でも罰することができるようになった) 処罰対象 不正の競争の目的 2010年改正 対象拡大 不正の利益を得る目的、 又は損害を与える目的 関係者と法的に戦うためには、企業側が秘密管理性を満たす対策を実施しておく必要が あるが、この対策が難しい。(秘密管理性を満たしておらず、裁判で敗訴となるケースもあり) © Hitachi Solutions, Ltd. 2014. All rights reserved. 19 「4-6 人的管理」 企業における「人的管理」の例 例えば、こんな対策が有効 ルールは常時掲示 定期的な教育 セキュリティ規程等、ルール は常に見えるように提示する 定期的なセキュリティ教育を 実施する © Hitachi Solutions, Ltd. 2014. All rights reserved. 20 「4-7 コンプライアンス」 企業における「コンプライアンス」の例 秘密保持契約書提出の義務化 就業規則等に罰則規定を定める 雇用時/雇用終了時 の秘密保持契約書 提出を義務化する 就業規則等の規程に、 罰則規定を定めておく 対策しないと 競合会社がコピー製品を販売 企業秘密が競合会社 に渡り、コピー製品が 市場に出てしまう 懲戒処分が無効に 従業員からの不当 処分の訴えにより、 懲戒処分が無効に なる © Hitachi Solutions, Ltd. 2014. All rights reserved. 21 セキュリティツールにより管理の負荷を軽減 4-1 基本方針 4-2 資産管理 4-3 物理的管理 4-4 技術・運用管理 4-5 証拠確保 4-6 人的管理 4-7 コンプライアンス 4-8 職場環境 4-9 事後対策 セキュリティツール による技術的対策 により、管理負荷を 軽減できます 4-10 組織の管理 © Hitachi Solutions, Ltd. 2014. All rights reserved. 22 4.参考になりそうなガイドライン © Hitachi Solutions, Ltd. 2015. All rights reserved. 2015年に予定されている法改正等 各種法改正や新たな制度の開始に合わせ、 企業は、セキュリティ対策を検討する必要があります。 © Hitachi Solutions, Ltd. 2015. All rights reserved. 24 個人情報の保護に関する法律についてのガイドライン 平成26年12月12日に改定され、経済産業省の 「個人情報の保護に関する法律についての経済産業分野を 対象とするガイドライン」が改定されました。 個人情報保護法で規定 された事業者の義務を より具体化・詳細化。 本書は、以下のURLからダウンロードできます。 「個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン」 http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles /1212guideline.pdf © Hitachi Solutions, Ltd. 2015. All rights reserved. 25 「高度標的型攻撃」対策に向けたシステム設計ガイド 平成26年9月30日に、IPAの標的型攻撃対策ガイドの 最新改定版が公開されました。 攻撃シナリオにおける 攻撃段階に沿い、 多層で防御することが必要。 本書は、以下のURLからダウンロードできます。 「『高度標的型攻撃』対策に向けたシステム設計ガイド」 https://www.ipa.go.jp/security/vuln/newattack.html © Hitachi Solutions, Ltd. 2015. All rights reserved. 26 特定個人情報の適正な取扱いに関するガイドライン 平成26年12月11日に、「特定個人情報の適正な取扱いに 関するガイドライン(事業者編)」が公開されました。 主なポイント ・罰則規定の強化 ・特定個人情報(マイナンバー)を 取り扱う際の安全管理措置 本書は、以下のURLからダウンロードできます。 「特定個人情報の適正な取扱いに関するガイドライン」 http://www.cao.go.jp/bangouseido/ppc/guideline/pdf/26121 1guideline2.pdf © Hitachi Solutions, Ltd. 2015. All rights reserved. 27 END 内部不正を防止するために企業は何を行うべきなのか 2015/2/26 株式会社 日立ソリューションズ ハイブリットインテグレーションセンタ プロダクト戦略部 第2グループ 部長代理 中川 克幸 © Hitachi Solutions, Ltd. 2015. All rights reserved.