情報セキュリティの話12

本ブログをご覧いただき、誠にありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関するお話の12回目です。

 

前回に続き、顧客情報など機密性の高い情報を外部の事業者等の管理下に保管する場合に、相手となる事業者等に提示すべきセキュリティ要件についてお話しします。

 

まず、システム面における要件のうち、ネットワーク・サーバー構成についてです。

 

外部(インターネット)と接続されていないネットワーク環境である場合には、顧客情報や財務情報などの機密情報を格納したストレージやデータベースサーバーは、内部ネットワーク上の端末や他のサーバーからのアクセスを制限する環境に設置することが望ましいと考えられます。

 

具体的には、顧客情報や財務情報などの機密情報を格納したストレージやデータベースサーバーは、ファイアウォールで仕切られたネットワーク領域に設置するとともに、限定された端末等からのみの通信を許可するというのものです。
さらに、アクセスログ(できればすべての操作ログも)を取得するゲートウェイを経由する構成とするのが理想です。

 

もしウェブサイトを設置しているなど、インターネットからのアクセスが想定されている場合には、インターネットと内部ネットワークとの間にDMZを設け、インターネットとDMZ、およびDMZと内部ネットワークとの間にそれぞれファイアウォールを設けてアクセス制御を図る必要があります。
DMZ上のWEBサーバーを経由した、特定のアプリケーションサーバー等に対する、特定のプロトコルの通信のみを許可することで、内部ネットワークへの侵入を防止します。

 

要件を提示する場合には、少なくとも上述のようなネットワーク・サーバー構成を設けていることの保証を求めることが重要となります。
(実務上、さすがに詳細なネットワーク・サーバー設計の開示を求めることは現実的とはいえませんので)。

情報セキュリティの話11

本日もブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話の11回目となります。

 

前回までは、数回にわたり、ベネッセの情報漏洩事件を題材に顧客情報等を取り扱う組織側における、情報漏洩に関する注意義務についてお話をしました。

 

今回からは、この注意義務の内容を踏まえて、顧客情報など機密性の高い情報をベンダーのクラウド上のシステムに保存する場合や、提携先の組織に提供する際に、相手に求める要件について検討をしてみます。

 

情報漏洩が起きることは誰にとっても良いことはありませんし、責任追及には大きなコストがかかります。
そこで、紛争を予防するためにも、事前にシステム面、人的な面の両方で、事前にセキュリティ対策に関する要件を伝えるべきであると考えられます。

 

システム面においては、ネットワーク・サーバー構成、アクセス制御・ログ取得、技術動向の把握・タイムリーな適用についての要件を提示することが考えられます。

 

人的な面においては、データセンターやコンソール端末がある場所における入退出管理・持ち物管理、従業員や委託先のセキュリティリテラシー水準の確保、従業員や委託先の就業管理(誓約書等の作成による抑止効果)についての要件を提示することが考えられます。

 

次回以降、それぞれについて個別に説明します。