本ブログにアクセスいただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
情報セキュリティのお話の2回目となります。
前回は、外部からの不正アクセス対策における、システム面、人的な面での対策について書きました。
今回は、組織内部からのアクセス対策について書いていきます。
まずシステム面における対策については、センシティブな情報が保存されたデータベースへのアクセス制御があります。
具体的には、顧客名、顧客の住所、顧客の連絡先(電話番号)などが保存されているデータベースについては、ローカルネットワークに設けられたファイアウォールの内側に設置し、業務においては特定のアプリケーションサーバーのみがアクセスできるように厳格なアクセス制御をします。
言い換えれば、社内PC等からはアクセスができないようにしておき、顧客のデータをまとめて抜き出すことができない仕組みにしておきます。
もっとも、システムである以上、保守運用の際には端末PCからコンソールを使ってアクセスしなければなりません。
そこで人的な面での対策として、顧客データの抜き出しを防止するため、ログイン、ログアウト履歴だけでなく、入力コマンドなどの操作全てを記録するゲートウェイを、データベースとコンソールとの間に設置することがあります。
これにより、不正なデータの持ち去りを抑止することができます。
また、操作ミスなど、何らかの過失によって顧客データが消失した際の原因究明にも役立ちます(単なるデータ消失なのか、不正なデータ持ち去り後の隠蔽工作であるかを切り分けることもできます)。
顧客データをクラウドサービス上で使用する場合には、サービス提供プロバイダに対して、上述のようなシステム構成とするよう要件定義をし、システム構築段階でサーバー、ネットワーク構成をチェックするとともに、リリース前には、特定のアプリケーションサーバーおよびコンソール以外からのアクセスができないことのテスト結果を確認するということも大切です。