リスクマネジメントの難しさ！

2004年10月26日付のＮet Securityに掲載されていた『今、企業に求められるリスクマネジメントの重要性 第7回：情報漏洩事件の原因究明の現場から（2）　』では対策の現状やそのレベルについて述べられていた。

ある調査会社が実施した調査によれば、86%の企業が情報漏洩による社会的な信用の低下を懸念しているものの、対策を特に実施していない企業が27%もあったようだ。また、よくあるケースを紹介している。しかしながら、それぞれ難しい問題である。個別のルール化とのルールの運用が徹底的にされるかどうかが問題のようである。以下、上記サイトから抜粋・引用させて頂いた。今まで、見過ごしてきた内容ばかりである。　

１）ID申請がないとIDが付与されないルールでは、申請されていないIDは存しないとして安心していると、システム上、申請書がなくても登録可能な場合もあって、これも危ない感じがする。

２）受渡記録を取り、机の引き出しの施錠を毎日していては業務が回らない。とすれば原則そうであっても、実際には守れそうにもない。

３）操作方法を知らないので、システム上はアクセス権があってもデータは取り出せないはずだが、操作方法は通常機密ではないので、マニュアル等により知ることができ、また共謀も可能としている。これも現状あり得ることである。

４）開発担当者はシステム上機密データにアクセス可能であるが、アクセスしないルールになっている。これも重要な問題である。こうなっているはずとか、こうなっているから大丈夫というルースこそ危ないのかもしれない。

５）アクセスログは取ってあるので、何か問題が発生すれば調査可能。これについてはログがあっても、定期的にチェックしていないと、問題が起きても気がつかない場合があり、発見が遅れる。チェックできる体制と、定期的なチェック体制とは異なるということでしょうか。

６）長年パスワードを変更していないが、問題は起こっていないので大丈夫。パスワードは異動等により知る人が増えるため、パスワードの有効性が低下する恐れがあるとしている。パスワードの変更を小まめにするように言われても、中々できないことが少なくない。これも結構あるような気がする。

なお、７）、８）、９）、１０）は委託先の問題であるが、委託先でのチェックはどのようにすればいいのだろうか。難しい問題である。

７）委託先とは守秘義務契約を締結しているので、管理状況を確認したことはないが遵守されているはず。アウトソーシング先でのチェックは抜き打ちでチェックするぐらいでないと難しいと思われる。契約しているはず、というのが大きな問題なのであろう。

８）サーバの管理は委託先に任せており、問題があれば報告を受けることになっているので大丈夫 。これもどのように危険回避すればいいのであろうか。

９）委託先は情報保護に関する認証を受けているので全てを任せており、委託先での管理状況を確認する必要はない。認証を受けていても事故を起こした例がある、と書かれているが、認証を受けている会社を選んで委託すれば安心と普通は思うに違いない。

１０）書類の廃棄時は廃棄証明書を徴求しているので安心。これについては。どのように保管され、どこでどのような方法で廃棄されたかが不明であったり、契約当初とは異なった方法で行なわれたり、想定していない廃棄方法による場合がある、としている。

（詳細は上記サイトを閲覧のこと）

うーん、どれもこれも難しいものばかりである。

  はてなブックマークに追加｜   livedoor クリップに追加｜  Buzzurlに追加

[リスクマネジメントの難しさ！] 2004年10月27日