組織における内部不正防止ガイドライン

組織・企業における内部不正の発生

　昨今、多発する標的型攻撃のニュースに隠れがちではありますが、依然として内部不正者による情報漏えい事件は後を絶ちません。
やはり皆さんの記憶に新しいのは2014年に発覚した某教育関連大手企業における極めて大規模な内部不正者による情報漏えい事件と思います。

　この事件では、漏えいした件数の大きさも去ることながら、漏えいを防止するための施策に漏れがあり、誰でも保持しているデバイスによりデータが容易にコピーされ、持ち出されたことが大きな特徴といえます。
事件をきっかけに、事件が発生した企業は大量の顧客離れが発生し、結果として経営に大きな影響が発生しました。
そして、2015年に個人情報保護法が改正される契機ともなりました。

　このような内部不正者による情報漏えい事件が発生した場合、企業は極めて大きな影響を受けることとなります。

組織における内部不正防止ガイドライン

　2013年、IPAから「組織における内部不正防止ガイドライン」(以下、内部不正防止セキュリティガイドライン)初版が公表されました。
その後幾度かの改訂が行われ、2017年1月に第4版が公表されています

　このガイドラインでは、中小企業を含めこれまでに内部不正対策を十分に整えてこなかった企業に対して、内部不正の予防だけではなく、発生後の迅速な発見と拡大防止を見据えた対策に触れられています。
また、内部不正対策は企業の特定の部門だけではなく、部門間調整を含めた対策が必要になるため、対策実施者だけではなく経営者も含めた層を読者として想定されています。

　本ガイドラインでは、内部不正防止に掛かる具体的な施策について、大きく10個の対策を打ち上げています。
そのうち、ログ管理については「5. 証拠確保」として、具体的なログの管理内容や方針について記述されています。

（１７） 情報システムにおけるログ・証跡の記録と保存

　「（１７） 情報システムにおけるログ・証跡の記録と保存」では、以下の通り記述されています。

　本節では、情報システム全般のログについての保存が重要視されています。
とは言え、あらゆる情報へのアクセス履歴を保存／監査することは現実的ではないため、「重要情報」へのアクセスを一定の期間保存するよう推奨されています。

　ここでの重要情報としては、個人情報保護法で定められた「個人情報」「個人特定情報」や、番号法で定められた「個人番号」、企業の機密性の高い営業情報が格納されたファイルやデータベースが想定されます。
これらの情報に対するアクセスログを一定期間保管して、内部不正発生時の証跡とするだけではなく、アクセスログを保管している事実を従業員に告知することで、内部不正に対する抑止効果を狙った対策も重要な施策と位置づけられています。

（１８） システム管理者のログ・証跡の確認

　「（１８） システム管理者のログ・証跡の確認」では、以下の通り記述されています。

　本節では、情報システムに対して強力な権限を保持する「システム管理者」の操作ログを記録することが重要視されています。

　システム管理者は情報システム、特に重要情報に対するアクセス権限を保持すること、また、ログの改ざんや消去と言った内部不正対策を根幹から揺るがしかねない操作を行うことが可能な権限を有している場合があります。
そのため、システム管理者の操作ログを日常的に管理し、なおかつ「システム管理者以外の」人間が確認することが重要とされています。

内部不正対策としてのログ管理

　本ガイドラインでは、上記以外にも随所で「ログ」が出現します。
内部情報対策として、ログを管理するだけではなく、第三者委託を行う場合のログの取扱にも記述があります。
そのため、情報システムに対する内部不正からの保護を図る上で、ログ管理の設計は「内部不正対策のスタートライン」といえます。