皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

IPA（独立行政法人情報処理推進機構）は、近年のウイルス感染や不正アクセスなどによる大量の個人情報漏えいなどを受け、『ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査』を実施しました。

それによると、情報セキュリティについて何をどのように依頼すればよいのかわからない委託元企業が多いことなどが明らかになりました。

セキュリティを重視しないIT業務委託

まず、調査結果のポイントとして以下の2つが挙げられています。

１．情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著。

２．委託契約における情報セキュリティ上の責任範囲（責任分界点）がわからないと回答する割合が、委託元、委託先とも最多。

そして、締めくくりでは以下のようにまとめられています。

(1)委託元の情報セキュリティに関する取組みの強化
■　調査を通じて、委託先では情報セキュリティの取組みがある程度浸透している一方で、委託元では取組みが進んでいるのは情報通信業や金融業、保険業等の特定の業種に限定されている傾向がみられた。
■　ITサプライチェーンリスクマネジメントは、委託元と委託先、再委託等のITサプライチェーンの関係者が各々業務を実施する上で適切な情報セキュリティを確保することでより効果的に実現される。本来あるべき姿として、委託元が情報セキュリティの確保を主導できるよう取組みの強化を図っていくことが必要と考えられる。

(2)情報セキュリティの取組みに関する共通的な指標の必要性
■　調査を通じて、委託先は委託元から要求される情報セキュリティ対策の実施状況に関して、詳細なチェックリストや実地調査等に個別に対応している。また、委託元はそれらの結果の確認や評価に大きな労力を費やしている現状が
見えた。
■　こうした委託元、委託先の対応を効率化するため、委託先における対策の実施と委託元による対策の確認の両面で利用できる、 ITサプライチェーンの情報セキュリティ対策に関する共通的な指標の確立が有効と考えられる。
■　委託先で最低限実施すべき情報セキュリティ対策が共通的に認識されることで、委託元では委託先の情報セキュリティ対策について確認すべき項目や評価方法が明確になるとともに、委託先でも共通的な指標に沿った対策の実施
状況を提示することで、委託元ごとに個別の情報提示を行う手間が効率化されることが期待される。

(3)委託元と委託先の責任範囲明確化の必要性
■　調査を通じて、委託元と委託先の情報セキュリティ上の責任範囲が不明という点が課題として認識されている。
■　委託元・委託先がリスクを正しく把握した上で必要な情報セキュリティ対策が実施されることを前提に、両者の責任範囲と負担について合意し、損害等の負担についても契約上で明記することが望ましい。

経済産業省が公開した『サイバーセキュリティ経営ガイドラインVer2.0』において、経営者が認識すべき3原則の1つに『自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要』がありますが、まだまだ継続的な課題と言えそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

もう既にゴールデンウイーク休暇とされているところも多数あるかもしれませんが、こういった長期の休暇中にはサイバー攻撃に対する注意が特に必要です。

ゴールデンウイークなどにおけるサイバー攻撃

ゴールデンウイークなどの長期休暇中においては情報セキュリティ担当などが休暇で不在となることも多く、サイバー攻撃の対象となりやすくなります。

また、実際にサイバー攻撃を受けた場合においても前述の理由などから対応が難しくなったりもします。

こういった際に被害にあわないためにも、ゴールデンウイークなどの長期休暇の前後はしっかりと対策をしなければいけません。

長期休暇前後における情報セキュリティ対策

まず、ゴールデンウイークなどの長期休暇中に使用しないサーバなどの機器は電源を落としてしまう方が安全です。

そして、基本的にはノートパソコンなどの機器類や社内データなどは社外に持ち出さないようにすべきですが、どうしても持ち出さなければいけない事情がある場合は、休暇中の厳重な管理、休暇明けのウイルスチェックなどを含め、しっかりとした管理を行わなければいけません。

また、どのデバイスいおいても、修正プログラムを適用して最新の状態を保っておくなどの対応は必須です。

楽しいはずの休暇が台無しにならないよう、しっかりとした対策を施して休暇に臨んでください。

追伸：これらの話しは事業者だけではありません。個人においては外出先でのSNSの投稿によっては不在であることを知られてしまい、思わぬトラブルに巻き込まれる可能性もありますので注意が必要です。

さて、この真意は？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭にお書きした内容は実際に起きた内容なのですが、こういった話しはよくあると言えばよくある話しです。

では、何故業者はこういった対応になるのでしょうか？

別セグメントのネットワーク

今回の事例では、元々A社が構築されていた業務システムネットワークに配慮し、別のセグメントにて構築するというものでした。

＜業務システム側のネットワーク＞

ルータ：192.168.10.1
サーバ：192.168.10.2（GW-192.168.10.1）
業務システムクライアント：192.168.10.3～5（GW-192.168.10.1）
事務クライアント：192.168.20.3～5（GW-192.168.20.1）

＜B社追加構築のネットワーク＞

無線LANルータ：WAN側-192.168.20.100（GW-192.168.20.1）/LAN側-192.168.30.1
クライアント：DHCP自動取得

簡単にはこんな感じなのですが、事務クライアントはアドレス変換にてルータを経由してインターネット回線に出ます。

また、B社追加構築のクライアントは、無線LANルータのWAN側である192.168.20.100からゲートウェイを通じて事務クライアントと同じ経路を経由してインターネット回線に出ます。

つまり、構成上から業務システムに与える影響はないのです。

もし可能性があるとしたら、事務クライアントも業務システムに影響を与える可能性を秘めていることになりますので、A社が主張したことは少々矛盾を感じます。

（A社も一般的には問題がないはずであることは認めていた。）

業者は自社以外のものを避けたがる

では、何故A社は業務システムへの責任を回避したかったのか？

よく、システム業者同士がサーバを分けて欲しい旨をクライアントに依頼することはあります。

単純に、どちらのシステムが問題で不具合が生じたのかの切り分けが難しく、相手方のシステムの問題であっても自社も調査をしなければいけない可能性を秘めているからです。

しかし、ネットワークの場合、別々に分断されたネットワークでは片方がインターネット回線を使用することができなくなってしまいますので、どこかでつなげておくしかありません。

そのためにセグメントを分け、影響が出ないようにしてつなげているわけです。

となると何故なのか？

私からすると、業務システム全体を把握できていないような気がします。

もし新しいネットワークの一部である無線LANルータを懸念しているのであれば、既に事務クライアントでも近い可能性はもっていますので、結局のところは全体を把握しきれていないと考えざるを得ないです。

もしくは、自分達が携わったもの以外による影響の可能性を残し、インシデント発生時の盾にしたいのではないかと思われます。

平たく言えば、問題が起きたら調査費用を請求したいということなのでしょう。

いずれにせよ、もう少しクライアントファーストである必要性があるのではないでしょうか。

皆さん、こんにちは。

業務コンサルタントの高橋です。

あるリサーチ会社が調査した、情報漏えいや紛失事故などの調査結果によると、それらの原因は、従業員や外注業者による内部的な要因が約8割を占めていることがわかりました。

では、具体的にはどのような内容なのでしょうか？

情報漏えい・紛失事故の内訳

一番多いのは紛失や誤廃棄で、全体の46%にも上ります。

次いで誤送信が21%、盗難が10%です。

これらは全て人による内部的な要因がもたらした結果で、それ以外のウイルス感染や不正アクセスといった外部要因は18%程度、残りの5%は不明という調査結果が出ています。

調査結果から言えること

当然ながら外部攻撃に対するセキュリティは必要ですが、それ以前に、内部要因でインシデントが起きないよう、社内においても徹底した管理が必要になってくるということです。

情報漏えい・紛失事故の内部対策

情報管理に対する運用マニュアルなどを作成し、それを内部で徹底管理することが第一にあります。

例えば、個人情報などが記録された媒体を社外に持ち出すことを禁止したり、重要情報へのアクセス権限の制限をするなどです。

他にも、誰が・いつ・どこから・何にアクセスしたのか？などのイベントログを残し、それらを監視したりすることも必要です。

ただし、小規模事業者においてはハードルの高いことでもありますので、まずは重要情報などを社外に持ち出さないなど、やれるところから順次着手していかれると良いでしょう。

]]> https://www.trilogyforce.com/blog/80percent-of-the-information-leak-is-an-internal-factor/feed/ 0