BLOG

「情報セキュリティ10大脅威 2020」は、
2019年において社会的影響が大きかったセキュリティ上の脅威について順位付けしたレポートです。

（IPAのサイトから抜粋：https://www.ipa.go.jp/security/vuln/10threats2020.html）


前回のblogで「組織」部門の１位について書きましたが、
もうひとつ注目したいのは２位の「内部不正による情報漏えい」。
これは、前回５位からのランクアップです。

内部不正については、
昨年からいろいろとニュースとなっていたので、
いくつか取り上げていましたが…

★ソフトバンクの元社員、機密情報の漏洩（不正競争防止法違反）容疑で逮捕
　https://plug-in01.com/topics/archives/24
★【史上最大規模の情報流出事件】ブロードリンク元社員によるHDD転売事件
　https://plug-in01.com/topics/archives/19
★富山の病院でシステム運用の委託先が患者情報を持ち出し
　https://plug-in01.com/topics/archives/18

権限のない第三者からの不正アクセスではなく、
業務上、重要な情報や情報が入った機器類に普段からアクセス可能な人が
外部に持ち出すというのは、本当に危険です！

かなり以前から、三菱UFJ証券の顧客情報売却事件（2009年）や、
ベネッセ個人情報流出事件（2014年）でも同様の問題がありましたが、
こういった事件を教訓に様々な対策を取っていても、
なくならない（むしろリスクが高まっている）ということで、
今回２位まで浮上したきたということだと思います。

ここで私が気になるのは、
最近ではシステムの運用管理を外部に委託するケースが増えているため、
その管理監督を疎かにすると自社の従業員ではないところで、
漏えい事故が発生してしまう可能性が高まっているということ。
システムのことはわからないのでお任せ状態では、危険！
悪意があればなんでもできちゃいます。

弊社のお客様には医療関係も多いのですが、
情報システムの運用管理はほぼ外部の業者に委託されています。
そのため、委託先の監督について強化をお勧めしています。

ポイントとしては、
・契約書、誓約書の締結
　※再委託がないか？また、常駐する作業者がいる場合は、本人から誓約書を取る。
・作業報告や作業の監督
　※書類上だけではなく、監視カメラの設置やアクセスログの取得、点検も。
・重要なシステムへのアクセス管理
　※不要なIDの消去、記憶媒体・スマホ等の持ち込み禁止やデバイス制御
・自社のセキュリティポリシーを教育
　※委託先の作業者に対しても定期的な教育を実施

委託元には、管理する権限も責任もありますので、
しっかりと要求することは要求し、
重要な情報を取り扱うということを認識して作業にあたってもらうようにしましょう。