情報漏洩を防止するための企業戦略
概要
現在日本国内では、個人情報保護法に代表されるコンプライアンスを徹底させるために、組織の規模や種類を問わず大きな努力を図っています。しかしながら、大変大きな労力をつぎ込んでいるにも関わらず、情報漏洩事件の報告は後を絶ちません。この文書は、日本国内の全ての組織を対象に、実際の情報漏洩対策を検討するにあたり必要なポイントを、網羅的かつ簡素に整理するためのガイダンスを提供しています。
ページ右側にあるダウンロード リンクから本ホワイトペーパーをダウンロードし、是非ご活用ください。
トピック
はじめに
個人情報保護法に代表されるコンプライアンスを徹底させるために、組織の規模や種類を問わず大きな努力を図っています。しかしながら、大変大きな労力をつぎ込んでいるにも関わらず、情報漏洩事故の報告は後を絶ちません。この文書は、国内の全ての組織を対象に、実際の情報漏洩対策を検討するにあたり必要なポイントを、網羅的かつ簡素に整理することを通じて、実践可能な「多層防御」戦略の策定支援を目的に作成されました。
コンプライアンスと IT
コンプライアンスはコーポレート ガバナンス (組織内統制) が正常に機能してはじめて実現可能です。また、コーポレート ガバナンスの正常な機能には、組織内のポリシーやガイドラインの徹底と継続的な改善プロセスの実装が必要です。では、コーポレート ガバナンスを正常に機能させるために、組織がとりうる戦略にはどのようなものがあるのでしょうか?コーポレート ガバナンスを IT で実現しようとする試みはここ数年活発となっていますが、構想と現実との間に存在する大きな溝を前に、課題を克服できずにいる組織は少なくありません。これは、IT に対する期待度と既存の業務プロセスの複雑性との間のギャップであるともいえます。このような状況を打開するためには、組織はコンプライアンス実現における IT の役割について明確な考えを持つ必要があります。もちろん、コンプライアンスを検討するうえで、IT はその中心となる柱であることには間違いありませんが、本文書では、「特定の IT ソリューションの導入でコンプライアンスを実現」というよりはむしろ、「IT はコンプライアンスを徹底するための労力を削減する」という考え方を推奨します。この考え方の背景には、コンプライアンスは「人」「プロセス」「技術」の3つの組み合わせとバランスで成り立つとの思想があります。この 3 つの視点を持たず、IT に過度な期待をするあまり、大きな投資に対して期待した成果を得られない組織や、実装前に現実とのギャップにプロジェクトが停滞してしまう組織が見られるのは、コンプライアンスにおける IT の位置づけを見誤ってしまったことが原因である可能性があります。
情報漏洩防止戦略
これまで説明してきたコンプライアンスと IT の関係は、個人情報保護法に代表されるような情報セキュリティに関するコンプライアンスにおいても例外ではありません。すなわち「人」「プロセス」「技術」のバランスの取れた戦略の策定が肝要です。また、情報セキュリティに「絶対」や「完璧」はありえません。人やプロセスが介在する限り、故意や不注意によらず、事故が発生することを前提にした事後プロセスの策定が必要です。さらに、本文書が焦点にしている情報漏洩対策という観点では、想定される脅威シナリオの洗い出し作業に網羅性が求められます。但し、幸いにも、SOX 法 (Public Company Accounting Reform and Investor Protection Act of 2002:上場企業会計改革および投資家保護法)に代表されるビジネス プロセスのコンプライアンスとは異なり、組織の規模や種類によらず、異なる組織で共通に利用できるシナリオを想定できるという意味で、情報漏洩防止戦略の内容は組織によって大きく異ならないとも言えます。そういった意味で、本文書は情報漏洩対策の実践を検討する上で、あらゆる組織が参考にできる情報として利用できるものと想定しています。
マイクロソフトからの提案
各対策には、多くの選択肢、製品が提供されていますが、その多くをマイクロソフトからも提供しており、基本的な部分は Windows Server の標準機能として提供しています。その一例をご紹介しています。
