テレワークにおいて最も大きな脅威と考えるべきリスクの一つが、情報漏洩です。ここでは各省庁や関連団体が公開しているガイドラインを参考にしながら、情報漏洩が発生した際、どのようなアプローチが有効であるかを確認しましょう。
独立行政法人情報処理推進機構(IPA)「情報漏えい発生時の対応ポイント集 」
IPAが発行している「情報漏えい発生時の対応ポイント集」は、主に情報漏洩が発生してしまった時、企業はどのような対応が求められているのかについてのポイントをまとめたガイドラインです。
サイバー攻撃は増加傾向にあり、もはやサイバー攻撃そのもののリスクをゼロにすることは不可能と考えるべきでしょう。そのような現実的な視点に基づいて作成されたこのガイドラインでは、インシデントが発生しても最小限に抑えるためのポイントを整理して紹介し、被害を最小限に抑えられるよう具体的な指示が記されています。
サイバー攻撃に対する境界防御の準備はある程度できているが、実際にインシデントが発生してしまった時についての想定は十分ではない認識がある場合、参考にしておきたいガイドラインです。
参考:https://www.ipa.go.jp/security/guide/ps6vr70000007pkg-att/rouei_taiou.pdf
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」
総務省が発行した「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、その名の通り一般企業ではなく地方公共団体における情報セキュリティ対策に特化したガイドラインとなっています。
一般企業と地方公共団体のセキュリティにおける大きな違いは、情報資産の内容が挙げられます。地方公共団体が有する情報の価値は非常に高く、市民の個人情報が詳細かつ正確に記載されているため、外部への流出は大きな事件として扱われます。近年は情報価値の大きさに注目し、地方公共団体を標的としたサイバー攻撃も増えているため、攻撃を予防し、被害を最小限に抑える工夫が必要です。
このガイドラインでは、主に地方公共団体の情報セキュリティポリシーの見直しを呼びかけ、有効なポリシーの策定や評価を行うためのノウハウがまとめられています。改訂を通じて最新の脅威や対策方法についての情報がまとまっており、情報セキュリティポリシーの策定に携わる担当者、あるいはセキュリティ全般の責任者にとって、参考にする価値は高いでしょう。
参考:https://www.soumu.go.jp/main_content/000805453.pdf
-
【総務省セキュリティポリシーガイドライン改定ポイント解説書を公開】
ポイントを分かりやすく解説した「総務省 地方公共団体情報セキュリティポリシーガイドライン改定ポイント解説書」を提供しております。
経済産業省「サイバーセキュリティ経営ガイドライン」
経済産業省が公開している「サイバーセキュリティ経営ガイドライン」は、経営者手動のサイバーセキュリティを広く普及することを目的としたガイドラインです。セキュリティ対策の主な業務は、企業におけるセキュリティ担当者が担いますが、一方で経営者によるセキュリティへの深い見識は、迅速な意思決定を実現する上で非常に重要です。
DXの一環としても経営者手動のセキュリティ対策強化は求められており、コーポレートガバナンスを改善する上で、セキュリティの観点から必要な対策がまとめられているのがこのガイドラインとなっています。
近年は働き方改革の影響により、テレワークの実施をはじめとする就業環境のダイナミックな変化も生じています。このような状況下で有効なサイバーセキュリティ対策を施すためには、従来の方法ではカバーしきれない部分も出てくるでしょう。
このガイドラインでは、そういった新しい働き方や組織のあり方を踏まえた、有用性の高いサイバーセキュリティ経営の実践方法を、10の項目と経営者が心がけるべき3つの原則にまとめ、紹介しています。企業のリスクマネジメントにおいてもサイバーセキュリティ対策の必要性は高まっており、企業価値を高める上で必要な対策を、ここから学べるでしょう。
参考:https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
ADEC「データ適正消去実行証明協議会 データ消去技術ガイドブック 」
消去技術認証基準委員会(ADEC)が公開している「データ適正消去実行証明協議会 データ消去技術ガイドブック 」は、不要になったデータを適切に消去するためのノウハウがまとめられています。
企業活動には不要であっても、外部企業にとっては高い価値を持つ機密情報は、適切な方法で処分しなければ情報流出の被害に遭ってしまう可能性があります。データをただ「ゴミ箱」に放り込んで「空にする」コマンドを実行するだけでは、第三者によって復元されてしまうリスクがあることは、広く周知されるべき事態です。
このガイドラインにおいて重視されているのは、ただデータを消去するだけでなく、データの復旧が不可能、あるいは復旧を阻害する仕組みを取り入れることで、データを抹消してしまうことです。例え不要になったデータも暗号化し、二度と閲覧ができないようにすることで、外部への情報流出リスクを回避することができます。
物理的な記憶媒体を廃棄する際の正しい手続きや、データそのものの抹消方法など、情報消去に関するノウハウが多く掲載されているため、情報セキュリティに携わる担当者は一度目を通しておくことをおすすめします。