みなさん、こんにちは。ひろりんです。
おそらくこの論文が試験前の最後の論文になります。
テーマは
「情報漏洩対策」
にしたいと思います。
情報漏洩対策
例により情報処理推進機構のサイトより引用します。
情報漏えいに関する対策について
情報システムの利用範囲が広くなるにつれて、情報システムで取り扱う情報の中に、個人情報や企業の機密情報が多く含まれるようになってきている。このような情報が社外に漏えいすると、企業の存続にもかかわる大きな問題になる可能性がある。
システム管理エンジニアには、このような機密性の高い情報に対して、システムの物理面、管理面及び技術面から漏えいを防止するための対策と、漏えいした場合の損害を最小限に食い止めるための対策の検討が求められる。
情報漏えいに関する対策を検討する際には、関係部門とともに、機密性の高い情報を特定し、その漏えいリスクを明確にする必要がある。
その上で、漏えいを防止するために、物理面からは、入退室者の厳格な本人確認や外部記憶媒体の持込み・持出し制限などを検討する。管理面からは、相互チェックの仕組みやアクセス権限の適切な更新などを検討する。また、技術面からは、アクセス範囲の限定や外部記憶媒体への情報書込み制限の仕組みなどを検討する。
漏えいした場合の損害を最小限に食い止めるためには、漏えいの事実を早期に把握して、迅速に対応することが求められる。そのためには、情報システムのアクセスログの継続的な取得及びその評価の仕組み、関係部門と連携した漏えい時の対応体制や対応プロセスなどの確立が重要である。
あなたの経験に基づいて、設問ア~ウに従って論述せよ。
設問ア
あなたが携わった情報システムの概要と、機密性の高い情報の概要及びその情報が漏えいした場合の影響について、800字以内で述べよ。設問イ
設問アで述べた情報について、関係部門と協力してどのような方法で漏えいリスクを明確にしたか。その上で、漏えいを防止するための対策、及び漏えいした場合の損害を最小限に食い止めるため講じた対策について、工夫した点を中心に、具体的に述べよ。設問ウ
設問イで述べた対策について、どのように評価しているか。今後の課題は何か。それぞれ簡潔に述べよ。(情報処理推進機構のサイトより引用)
1.情報システムの概要と機密性の高い情報の概要及びその情報が漏えいした場合の影響
1-1 情報システムの概要と機密性の高い情報の概要
A社は国内の自動車部品メーカーであり、株式上場企業である。部品の販売先には国内最大手の完成車メーカーB社も含まれている。A社の基幹システムとしては、財務会計システム・生産管理システム・販売管理システムがある。私はA社の情報システム部・運用チームのITサービスマネージャであり、それらシステムの運用管理・インシデント管理・問題管理などを統括している。
機密性の高い情報をまとめてみると下記のとおりである。
①財務会計システム:主に管理会計に関する情報
②生産管理システム:主に製品の生産情報・新規案件の進捗情報
③販売管理システム:主に顧客情報・受注情報
1-2 機密性の高い情報が漏えいした場合の影響
万一、機密性の高い情報が漏えいした場合の影響も考えておかなければならない。
①財務会計システム:管理会計に関する情報は、会社の経営陣が今後の意思決定にも使う重要な情報である。その情報が外部、競合他社などに流れてしまえば、会社の経営戦略の変更など、影響は甚大である。株主などのステークホルダーにも影響を与えることになる。
②生産管理システム:生産情報が流れてしまえば、競合他社との詳細なマーケットシェアなどが判明してしまう。また、新規案件の進捗は販売先の完成車メーカーの情報も含まれているので、万一、完成車メーカーの競合他社まで情報が流れると技術までが流出してしまう。
③販売管理システム:顧客情報には信用情報も含まれており、それらが流出すれば、A社の信用が失墜し、今後の受注が難しくなる恐れがある。
2.関係部門と協力して漏えいリスクを明確にした方法、漏えいを防止するための対策及び漏えいした場合の損害を最小限に食い止めるため講じた対策
2-1 関係部門と協力して漏えいリスクを明確にした方法と工夫した点
各システムの関係部門は経理部・生産管理部・技術開発部・営業部がある。まずは関係部門内で、考えうるリスクを抽出し、それぞれのリスクについて重み付けをしてもらった。それを数値化して影響度が「大」のリスクから対策を行うことにした。情報システム部では関係部門から集めた、影響度「大」のリスク対策を最優先事項として認定し、対策を進めることにした。
2-2 漏えいを防止するための対策と工夫した点
漏えいを防止するためには、さまざまな面での対策が不可欠である。
物理面:現在、IDカードを機器に通すのみで入退室を管理しているが、社員自身で設定した数字によるパスワードも合わせて機器に入力し、二重認証とする。また、社員自身の情報機器を社内に持ち込み、社内ネットワークに接続することで情報が漏えいする可能性もあることから、BYOD対策も検討する。
管理面:A社は比較的、中途採用も多く、社員の入退社が多い。また部署異動も多い。そのため、退職した社員のIDやアクセス権限削除の処理が遅れることもあった。アクセス権限の付与・削除は情報システム部が行っているが、人事部から入退社情報や異動情報をリアルタイムで入手する仕組みを作ることにした。
技術面:近年、社内業務にクラウド技術を導入することが増えた。情報漏えいはクラウドでの情報共有の過程で起こる場合もある。また、部門独自でクラウドを導入している場合もあるので、クラウドを導入する場合は情報システム部への申請など、申請ルートを確立しておく。さらにクラウドが便利だからという理由だけで導入を決めるのではなく、オンプレミスとのセキュリティ対策の違い、メリット・デメリットも事前に検討することにした。
2-3 漏えいした場合の損害を最小限に食い止めるため講じた対策と工夫した点
漏えいはどこから発生するか完全には予測はできない。そのため、漏えいの発生が判明したら、そのことを早い段階で把握する必要がある。A社ではセキュリティ事案が発生した段階で、情報システム部が主体になり、部門横断的なセキュリティ対策専門チームとしてCSIRTを組織している。CSIRTに漏えいの状況を集約し、必要があればIPAなどの外部組織に通知、また早期に自社サイトなどでも情報公開する。A社は株式上場企業であり、株主などのステークホルダーも多岐にわたる。情報漏えいはA社の株価にも影響し、ステークホルダーの機会損失に即座に影響を与える。そのため、情報漏えいが、どこまでの範囲の漏えいなのか、また発生源は何か、さらに解決策はあるのか、などを適切なタイミングで公表する必要がある。なぜならば、情報が公表されなければ、ステークホルダーはますます不安になるからである。
3.対策の評価と今後の課題
3-1 対策の評価
まず、2-2で記述した、防止するための対策の評価であるが、物理面ではやはり新たな機器の導入コストがかかり、今期は導入見送りになった。BYOD対策については、全社員に向けて周知徹底し、不必要に社内ネットワークに接続しないように研修も行い、その効果はあった。管理面では人事部との連携が特に必要だったため、定期的に人事部とセキュリティに関しての情報交換を行って、入退社・異動の人事発令のタイミングでアクセス権限の更新を行うことにして、更新の遅れはなくなった。技術面ではクラウドとオンプレミスのセキュリティの違いについて管理職を対象に研修を行い、意識付けは成功したと思われる。
次に、2-3で記述した、漏えい発生後の対策の評価であるが、想定シナリオで社内訓練を行い評価した。具体的には「標的型メール」を特定の社員に送り、その後の報告ルートなどを検証した。標的型メールには添付ファイルがあり、特定の社員はそれを開くことはなかったが、その後の報告が遅れた。
3-2 今後の課題
防止するための対策である「新たな機器の導入」については来期に予算を組み、経営陣に了承を取る必要がある。
漏えい後の対策については、報告ルートを確実に機能させる必要がある。3-1に記述した訓練では、社員にまでマニュアルが浸透していなかった。マニュアルを社員が見やすい位置に整備するとともに、定期的にセキュリティ訓練を実施し、セキュリティに関する意識付けを行うことも必要である。必要があれば、外部のセキュリティ対策の専門家もまじえて、セキュリティ対策の強化も行うこととする。
– 以上 –
まとめ
試験まで1週間になりました。
これまでの5本の論文を読み込んで自在にストーリーを組み立てられるようにしなければいけませんね。
ひろりん
コメント