経済産業省では、2014年に入り相次いで発生している内部不正による機密情報の漏えい事案を受け、独立行政法人情報処理推進機構(IPA)と協力し情報収集を行うとともに、情報管理における問題点を分析、同様の事案の発生を防ぐための組織における対策を検討し、「組織における内部不正防止ガイドライン」の改訂を行い公表しました。
■「組織における内部不正防止ガイドライン」改訂概要
【改訂の背景】
・企業等におけるIT活用が進み、個人情報や技術情報などが電子化されることで、機密情報の持ち出しコストが下がり、また、漏洩情報がより拡散しやすくなっている。
・内部犯行による平均漏洩データ件数は、外部犯行によるものの1.6倍にのぼるとの調査結果がある。
・国内において、本年に入ってから内部関係者による情報漏洩事件が相次いでいる。
・情報漏洩を防止するためには、情報漏洩実例から教訓を抽出し、情報セキュリティ対策を継続的に強化していくことが重要。
【今回の改訂のポイント】
1.経営層によるリーダーシップの強化
2.情報システム管理運用の委託における監督強化
3.高度化する情報通信技術への対応
◎改訂のポイント1:経営層によるリーダーシップの強化
<実例からの課題> ・情報セキュリティ全体統括責任者の不在、統括的に管理を行う専門部署がない等 ・社内の人間が悪意を以って大量の個人情報を持ち出すことはありえないという経営層の意識の不足
<主な改訂事項> 経営層の責任の明確化 ・経営戦略に則したセキュリティ対策の基本方針策定と必要なリソース(人・金)の配分 ・情報システムの全体概要の把握と対外的な説明責任
責任者・担当者の能力確保 ・組織横断的な情報管理体制を構築するとともに、外部専門家の採用や研修の実施等による能力確保を図る。 |
◎改訂のポイント2:情報システム管理運用の委託における監督強化
<実例からの課題> ・システム子会社への委託、更に複数回に渡る業務の再委託により情報が取り扱われ、適切な監視、業務分配、権限管理が行われていない。 ・性善説に基づき、悪意を持った内部犯行に対する監査、監視体制の運用との不足。
<主な改訂事項> システム業務体制の検討 ・業務を委託することの検討の実施、委託を行う際の必要な監督体制の整備。
業務委託先の評価・監督 ・委託先の態勢や規定等の点検、実地検査による評価を委託実施前に実施。 ・委託先のセキュリティ対策を定期・不定期に確認し、委託内容等を見直し。 ・委託先が再委託を行う際の事前承認の導入。
委託元と委託先の連携 ・情報漏洩発生時等における委託元と委託先の連携を契約等で明確化。 |
◎改訂のポイント3:高度化する情報通信技術への対応
<実例からの課題> ・社内システムに対するスマートフォンの接続制御の不備等、新しく出現した技術へのセキュリティ対策が十分でないこと。 ・アクセス権限管理、ログ活用等のセキュリティ技術が適切に用いられていない。
<主な改訂事項> 継続的な対策見直し ・対策の有効性を監査する計画を立て、IT技術進歩や新たな脅威などの状況に応じ継続的に対策を見直し。
スマートデバイス等への対応 ・スマートフォンやUSBメモリ等の外部記録媒体の利用を制限するソフトウエアの導入。
アクセス権限管理強化 ・重要情報へのアクセス権限の絞込み。付与する期間の設定や職務に対応して権限を割り当てる「ロールベースアクセス制御」の導入検討等
ログ確保による抑止 ・ログ保存実施事実の利用者への開示による内部不正発生の抑止。 |
【経済産業省としての今後の取り組み】
・組織における内部不正防止ガイドラインに関する、中小企業を含めた幅広い広報・普及
・ユーザ企業におけるセキュリティ人材の確保・育成を促進するための国家試験「情報セキュリティマネジメント試験」も創設(平成28年度から実施予定)
・企業のセキュリティ対策を含めたIT投資・活用を社内外から評価できる基準の策定等。
【参考】日本企業における情報セキュリティ対策の現状
◎日本の経営層は、セキュリティに対するプライオリティ付が低い
積極的にセキュリティ対策を推進する経営幹部がいる企業
・日 本⇒27%
・諸外国⇒59%
◎日本企業はセキュリティ投資の水準が低く、評価の実施も低い
・次年度のセキュリティ投資は増加すると答えている企業も、世界平均49%に対し、日本は20%。
・セキュリティ投資の効果測定について、日本企業の効果測定実施率は23%、世界平均58%。
◎日本ではIT技術者がITサービス企業に偏っており、ユーザ企業に十分なIT技術者がいない
⇒これは、情報システムの管理・運用が外注先に依存している可能性
[例]日米のIT技術者の分布状況
アメリカ:サービス企業⇒28.5%、ユーザ企業⇒71.5%
日 本:サービス企業⇒75.2%、ユーザ企業⇒24.8%