【要点抽出】組織における内部不正防止ガイドライン 第5版 その2

ニキヌス

続きです。今回は残りの4章を一気に駆け抜けます。その1はこちら

https://www.ipa.go.jp/security/guide/insider.html

4章 内部不正を防ぐための管理のあり方

いよいよ対策の中身です。
10の観点について33項目の対策が挙げられています。
33個やればいいのかと思いきや、各項目の中でまた複数の具体策が挙げられており、全部並べると150くらいになりそうです。
さすがに多すぎるので、各項目どんどん雑にまとめます。

4-1.基本方針(経営者の責任、ガバナンス)

4-1に限ってはエラい人向けの記載です。
サイバーセキュリティと同様に内部不正対策も経営者の責任として推進しなさいとか、あまり性悪説に偏って監視しすぎると人権やプライバシー問題になる可能性があるとか書かれています。

(1) 経営者の責任の明確化

  • 経営者は内部不正の影響を理解して、基本方針作って、リソースを確保してね。

  • 何かあった時のための証拠保全やサプライチェーン対策、漏洩時の報告義務対策も忘れないでね。

(2) 総括責任者の任命と組織横断的な体制構築

  • 経営者は情報セキュリティと経営が分かる「総括責任者」を任命してね。

  • あとは総括責任者がうまい感じに社内の各部門との連携体制を作ってね。

4-2.資産管理(秘密指定、アクセス権指定、アクセス管理等)

ここからは内部不正対策を実施する現場の人向けなので具体的な内容になっていきます。

(3) 情報の格付け区分

  • 情報を重要度にあわせてラベリングして、管理責任者決めて、アクセスルールを決めてね。

(4) 格付け区分の適用とラベル付け

  • 情報を作った人(データオーナー)が重要度の格付け区分を決めるけど、ワケわからん区分を選ばないように管理責任者にチェックさせてね。

(5) 情報システムにおける利用者のアクセス管理

  • ユーザに渡すアクセス権はモチロン最小権限で。異動や退職みたいな人事イベントに連動してアクセス権を消してね。あと棚卸も時々してね。

ちなみにこの項目では以下が「望ましい」として挙げられています。
昨今ゼロトラストの流行とともに注目されている細やかな認可制御を意識した記載に見えます。

  • きめ細かいアクセス権限管理に対応できるアクセス管理基盤の整備

  • 時間やアクセス数、量等の条件による重要情報へのアクセス制御やモニタリング

(6) システム管理者の権限管理

  • システム管理者が複数いるなら権限分掌した上で相互監視させてね。

  • 特権利用時のログ取得もお忘れなく。

(7) 情報システムにおける利用者の識別と認証

  • IDやパスワードの共用や貸与はご法度。一人ずつIDと複雑なパスワードを持たせてね。

  • リモートで仕事する管理者は狙われやすいからMFAさせてね。

なお、MFAの際にBYODは使わせないことが望ましく、社給スマホが費用対効果や利便性で最も優れているらしいです。

4-3.物理的管理

(8) 物理的な保護と入退管理

  • 壁、入退室管理、ログ記録、監視カメラみたいな物理対策してね。

  • めっちゃ重要な資産なら、NWから隔離した環境を作ってね。

(9) 情報機器及び記録媒体の資産管理及び物理的な保護

  • PCとか外部媒体は盗難紛失しやすいからワイヤロックとか台帳管理してね。のぞき見も怖いからクリアスクリーンもさせてね。

  • 機器を捨てるときはデータが残らないようにバッチリ消してね。

(10) 情報機器及び記録媒体の持出管理

  • 機器を勝手に持ち出さないように、記録つけさせたり承認とらせてね。

(11) 個人の情報機器及び記録媒体の業務利用及び持込の制限

  • BYODを業務利用させるとマルウェア感染とか盗撮とかロクなことがないから許可するかどうかしっかり考えてね。

  • 許可するとしてもルール決めが大事。MDM使って業務データを扱える領域を分けるとか端末のモニタリングとかリスク低減策を考えてね。

  • サーバルームとか大事なところにBYODを持ち込ませないでね。

4-4.技術・運用管理

本書の中で最も挙げられている対策例が多いです。
多くの人の関心事かと思います。

(12) 内部不正モニタリングシステムの適用

  • AIを使って役職員を監視するのは便利だけど、データの集めすぎによるプライバシー問題には気を付けてね。あと説明責任(どういうロジックで不正と判断したのか)を果たすことも大事だよ。

  • BYODを業務利用させる場合はモニタリング対象にしてね。それについて持ち主と合意できないなら社給PCにさせてね。

(13) ネットワーク利用のための安全管理

  • シャドーIT(許可外ソフトウェアやクラウドストレージ)は制限してね。

  • メールを個人メアドに転送させないように制限してね。外部に送るときは上司の承認とか自動暗号化の仕組みも入れてね。

  • BYODスマホを使ったテザリングとかモバイルwifiルータでのインターネットアクセスを制限してね。(恐らく社内NWにつないだ上でやらせるなという意味?)

  • 端末にはマルウェア対策ソフトやEDRを使ったりパッチ適用してね。

  • ローカルブレイクアウトさせる時は、手元PCで使えるソフトウェアとかクラウドストレージをより厳しく制限してね。クラウドプロキシを使って接続先を制御したりログを分析するのも大事だよ。

(14) 重要情報の受渡し保護

  • 重要情報を委託先とか外部に渡す時は、承認手続きを踏ませて記録をとってね。特に大事なデータは分割して渡してね。用が済んだら消去証明をもらってね。

  • データを暗号化したり、受け渡し用ストレージのダウンロード期限や回数を絞るのも大事だよ。

  • これらの対策は自社だけじゃなく委託先や再委託先にも守らせてね。

(15) 情報機器や記録媒体の持ち出しの保護

  • 機器を外に持ち出す時は、端末のログインパスワードをかけさせてね。

  • 他にも保存データの暗号化、リモートワイプ、一定回数のログインミスでデータ消去といった仕組みも有効だよ。

(16) 組織外部での業務における重要情報の保護

  • テレワーク時に守るべきルールや罰則を決めよう。

  • テレワークには危険がいっぱいあるよ。画面の覗き見防止フィルム、公衆無線LANの利用禁止(使わせる場合はデータや通信の暗号化)、手元PCへのデータ保存禁止(保存させる場合は暗号化やリモートワイプ)を考えてね。端末にEDR入れたりクライアント証明書入れたりMFAを求めるのもおすすめだよ。

  • 海外からのテレワークは、外国政府が監視するとか現地の法制度も考えないといけないのでリスクが高いよ。その端末で出来ることを制限するなどバランスとってね。

(17) 業務委託時の確認(第三者が提供するサービス利用時を含む)

  • 委託先からの漏洩もありえるので、委託先や再委託先のセキュリティ対策や態勢を事前に確認してね。

  • インシデント発生時の調査協力や監査の受け入れ可否も確認してね。

  • これは契約時だけでなく定期・不定期に確認してね。

4-5.原因究明と証拠確保

(18) 情報システムにおけるログ・証跡の記録と保存

  • 何かあった時に調査できるように、重要情報へのアクセスログ、従業員のWebアクセスログ、メール送受信ログ、テレワークのVPN接続やログインログオフ履歴、クラウドサービスの認証や操作ログなどを取ってね。

  • ログは必要な期間保存して、改ざん等されないように保護(アクセス制御や別環境への隔離)してね。

  • 定期的に異常なファイルアクセス等がないか確認してね。

  • ログを従業員に黙って取るとプライバシー問題に発展する恐れがあるので通知したほうがいいよ。でもログの保存期間は言わないほうがいいよ。

(19) システム管理者のログ・証跡の確認

  • システム管理作業のログはとって、保護して、定期的に確認してね。

  • ログがないならせめて作業内容を管理簿とかに書いておいてね。

割愛:4-6.人的管理、4-7.コンプライアンス、4-8.職場環境

以下はITから離れるので割愛します。
(20) 教育による内部不正対策の周知徹底
(21) 従業員モニタリングの目的等の就業規則での周知
(22) 派遣労働者による守秘義務の遵守
(23) 雇用終了の際の人事手続き
(24) 雇用終了及び契約終了による情報資産等の返却
(25) 法的手続きの整備
(26) 誓約書の要請
(27) 公平な人事評価の整備
(28) 適正な労働環境及びコミュニケーションの推進
(29) 職場環境におけるマネジメント

4-9.事後対策

(30) 事後対策に求められる体制の整備

  • 問題が起きたら裁判や警察沙汰に発展することもあるので証拠保全が肝心だよ。フォレンジックの専門家に相談してね。

  • インシデント対応をしているフリをして情報を盗む輩がいるよ。一人で調査させないでね。

  • 個人データが漏れたら個人情報保護委員会と本人への期限内の報告をお忘れなく。監督省庁に報告が必要なケースもあるよ。

(31) 処罰等の検討及び再発防止
ITから離れるので割愛します。

割愛:4-10.組織の管理

ITから離れるので割愛します。
(32) 内部不正に関する通報制度の整備
(33) 内部不正防止の観点を含んだ確認の実施

感想

お疲れ様でした。
33項目、大分端折りましたが多いですね。

読んでみると、サイバー攻撃対策とかなり共通した内容だと感じました。
内部不正ならではなのは、従業員のプライバシーへの配慮や(今回割愛しましたが)職場環境や就業規則にも言及しているところですね。
こうした要素があるからこそIT部門だけでなく「組織横断」で取り組む必要があるのだと改めて思いました。

なお、本書の構成上、真に実務的な対策内容は上記33項目の中の「対策のポイント」欄に載っています。
33項目の「対策の指針」だと抽象度が高いのですが、付録Ⅱ「内部不正簡易チェックシート」や付録Ⅶ「対策の分類」は指針レベルの一覧化に留まっているのが惜しいところでした。
(今回のまとめでは極力「対策のポイント」から要点を拾ったつもりです)

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。

この記事が気に入ったらサポートをしてみませんか?