本ブログをご覧いただき、誠にありがとうございます。
弁護士・税理士の鳥光でございます。
今回は、情報セキュリティに関するお話の12回目です。
前回に続き、顧客情報など機密性の高い情報を外部の事業者等の管理下に保管する場合に、相手となる事業者等に提示すべきセキュリティ要件についてお話しします。
まず、システム面における要件のうち、ネットワーク・サーバー構成についてです。
外部(インターネット)と接続されていないネットワーク環境である場合には、顧客情報や財務情報などの機密情報を格納したストレージやデータベースサーバーは、内部ネットワーク上の端末や他のサーバーからのアクセスを制限する環境に設置することが望ましいと考えられます。
具体的には、顧客情報や財務情報などの機密情報を格納したストレージやデータベースサーバーは、ファイアウォールで仕切られたネットワーク領域に設置するとともに、限定された端末等からのみの通信を許可するというのものです。
さらに、アクセスログ(できればすべての操作ログも)を取得するゲートウェイを経由する構成とするのが理想です。
もしウェブサイトを設置しているなど、インターネットからのアクセスが想定されている場合には、インターネットと内部ネットワークとの間にDMZを設け、インターネットとDMZ、およびDMZと内部ネットワークとの間にそれぞれファイアウォールを設けてアクセス制御を図る必要があります。
DMZ上のWEBサーバーを経由した、特定のアプリケーションサーバー等に対する、特定のプロトコルの通信のみを許可することで、内部ネットワークへの侵入を防止します。
要件を提示する場合には、少なくとも上述のようなネットワーク・サーバー構成を設けていることの保証を求めることが重要となります。
(実務上、さすがに詳細なネットワーク・サーバー設計の開示を求めることは現実的とはいえませんので)。