情報セキュリティの話14

本ブログにアクセスしていただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

情報セキュリティに関するお話の14回目となります。

 

今回は、顧客情報など機密性の高い情報を外部の事業者等の管理下に保管する場合に、相手となる事業者等に提示すべきセキュリティ要件のうち、技術動向の把握・タイムリーな適用について説明します。

 

ベネッセの情報漏洩事件において認定された注意義務違反のひとつとして、業務用PCからのMTP方式によるデータ転送を制限する設定がなされていなかったというものがあります。

 

より詳しく説明しますと、業務用PCからスマートフォンへデータを転送する方式にはMSC方式とMTP方式があり、当時主流であったMSC方式のみデータ転送を禁止する設定がなされていました。

 

しかし、MTP方式によるデータ転送も増えつつあったことから、その技術動向を把握し、MTP方式によるデータ転送を制限する設定をすべきであったとされました。

 

このことを踏まえると、提示すべき要件としては、技術動向の把握とタイムリーな適用ができるセキュリティ対策体制を設けていることが挙げられます。

 

具体的には、セキュリティ対策専門の部門または要員を設けていることや、適用すべき設定等を認識した場合には〇日以内にリリースする運用としていることなどが挙げられます。

 

これらについては、少なくとも体制図と運用要領の提示を求めることが有用です。

情報セキュリティの話13

ブログご覧いただき、ありがとうございます。

 

弁護士・税理士の鳥光でございます。

 

今回は、情報セキュリティに関する13回目のお話しとなります。

 

前回は、顧客情報など機密性の高い情報を外部の事業者等の管理下に置く場合に提示すべき要件のうち、ネットワーク・サーバー構成について説明しました。

 

今回は、アクセス制御・ログ取得についてお話しします。

 

機密情報が保管されているストレージやデータベースは、ファイアウォールを用いて内部ネットワークからのアクセス制御をし、限定された端末やサーバーからのみ接続可能とすべきです。
そして、保守作業等によってコンソール端末からアクセスする際には、ログイン履歴と操作ログを取得することも必要です。

 

情報漏洩が発生した際、誰がいつデータベースにアクセスしたかを調査することは、セキュリティ事故対応の基本となります。

 

そして、一定期間内に複数の保守員等がデータベースにアクセスしている場合には、誰がどのような操作を行ったかを知るために、操作ログがあると助かります。

 

操作ログがあると、保守員等が意図的に機密情報を持ち出した場合だけでなく、保守員等が認識していないものも含む操作ミスによる情報漏洩の原因追及にも役立ちます。

 

また、すべての操作ログを取得していることを組織内に周知しておくことで、良い意味での緊張感を生み、情報漏洩の抑止にもつながります。