情報セキュリティマネジメント試験 2018年 春③企業統合における情報セキュリティガバナンス

はじめに架空の会社の説明

X 社は、本社の他に 20 か所の地方営業所を有する、法人向けオフィス機器などの販売代理店業を営む非上場会社で、従業員数は 320 名である。従業員のうち営業に従事する者は 200 名である。X社は、旧 X 社が同業で業績が低迷していた旧 Y 社を販路拡大のために 2016 年 4 月 1 日に吸収合併してできた。
X 社の社長は、合併直後、株式の上場、取引先からの信頼の維持・向上及び事業継続性の向上のために全社的な業務の効率化、コーポレートガバナンスの強化及び社内の情報システムの計画的な統合を図ることを社長方針として周知した。社長方針を実行に移すために、社長直下に経営企画室を設置し、IT に詳しい C 氏を室長に任命した。コーポレートガバナンスの強化の一環として、情報セキュリティガバナンスを整備するために、社長を委員長、経営企画室を事務局とし、各部室長を委員とする情報セキュリティ委員会を設置した。又、経営企画室の職務分掌には、全社的な情報システムの企画及び運用を含めた。A 部長が率いる営業統括部では、全社的な営業戦略の策定及び営業管理を行っている。営業統括部には管理課がある。管理課の B 課長は、委員会の指示の下、営業部門全体の情報セキュリティに関わる実務を担当する情報セキュリティリーダである。
営業所数は、旧 X 社が 15 名,旧 Y 社が 10 名であったが、合併後、統廃合によって旧 X 社が14 名、旧 Y 社が 6 名の計 20 名となった。合併時点で、旧 Y 社からの事業の承継に伴い提供された顧客データを含め、X 社の顧客データベースに登録されている顧客企業の購買担当者数は 2800 名となった。

X 社では、全ての営業所に LAN 環境が整備されている。各営業所の従業員は、会社貸与のデスクトップ PC を LAN 環境に接続して使用している。本社と各営業所の LAN の間は WAN 回線で結ばれ、本社においてインターネットに接続されている。旧 X 社及び旧 Y 社での業務用 IT ツールの利用方法は次に示す。2016 年 3 月末時点での旧 X 社の情報セキュリティポリシも次に示す。

両社での業務用 IT ツールの利用方法

旧 X 社

営業支援ツール:SaaS を顧客管理、案件管理に利用、Web ブラウザからアクセスして利用
PC 管理:PC 管理ツールを利用して、業務 PC の利用者の操作履歴を収集
電子メール:業務 PC 上で、氏名検索機能付きメールアドレス帳及び宛先入力自動補完機能付きメールクライアントソフトを利用、従業員ごとに異なる業務メールアドレス利用、社外からは利用不可

旧 Y 社

営業支援ツール:専用ツールは未導入、顧客管理は表計算ソフトで行い、案件報告は口頭又はメールで実施
PC 管理:ツールは未導入
電子メール:Web ブラウザからアクセスして利用、従業員ごとに異なる業務メールアドレスを利用、社外からは利用不可

旧X社のポリシ

1.業務では、PC、USB メモリ、携帯電話などの機器は会社貸与のものを利用すること
2.個人情報などの機密性が高い情報は、暗号化、パスワードなどによって保護すること
3.個人情報などの機密性が高い情報を社外に持ち出す場合には事前に上長又は所属部門の情報セキュ
リティリーダに承認を得ること
4.パスワードは、英大文字、英小文字、数字、記号の全ての文字種を組合わせた8 文字以上でかつ、
他人に推測されにくい文字列とし、他人に知られないよう管理すること

ポリシは、旧 X 社だけが整備していた。旧 X 社のポリシを旧 Y 社の営業所へ適用する時期については、経営企画室が検討し、委員会に諮ことにした。そこで、C 室長は、情報資産の特定及びリスクアセスメントを 2016 年 5 月中旬から開始し、現状の情報資産の取扱状況及び情報セキュリティ対策を調査したところ、同年 6 月中旬に、旧 X と比べて旧 Y 社の営業所での情報資産の取扱いがずさんなことが明らかになった。

情報システムの利用の変化

X 社では、旧 X で導入済みの営業支援ツールの利用を 2016 年 7 月から全社的に開始した。同年 8 月からは、業務用のメール利用も旧 X 社で導入済の方式に全社で統一し、メールの添付ファイルのサイズを 5 Mバイト以下とする設定にした。同時に毎年、社外への送信メールを監視することにし、監査証跡として 1 年間分の送信メールを残すために、メールアーカイブサーバーをメールサーバーとは別に設置した。
経営企画室が 2016 年 9 月に合併後の従業員満足度及び旧 X 社のポリシの全社適用についての社内アンケートを行った。その結果、旧 Y 社の営業員から不慣れな業務用 IT ツールの利用による勤務時間の増加に対する不満、及び旧 X 社のポリシを全社に適用する方針についての反発が多いことが分かった。そこで、旧 X 社のポリシの適用は旧 Y 社の営業所では、条文によって時期を分け、2016 年 10 月から 1 年かけて段階的に行う方針を委員会で決定した。

段階的なポリシの適用を進めていたところ、2015 年に改正された個人情報の保護に関する法律の全面施工日を 2017 年 5 月 30 日とする政令が 2016 年 12 月 20 日に閣議決定された。X 社が取り扱う個人情報は、合併以降 2016 年 12 月 20 日まで 3800 件を超えることはなかったが、①改正法の全面施工日以降は、X 社も、個人情報取扱事業者に該当することになる。そこで、委員会では方針を変更委し、2017 年 1 月 10 日に、旧 X 社のポリシを 2017 年 4 月 1 日にから全社適用することにした。社長から経営企画室及び管理課に対して、旧 X 社のポリシの全社適用と社長方針の具体的推進を行うよう指示があった。特に、社会的責任にも配慮したコーポレートガバナンスとそれを支えるメカニズムである「 内部統制 」の仕組みを、情報セキュリティの観点から、社内に構築・運用するよう指示があった。そこで、両課室は、次の検討を開始した。
上記①で、X社が個人情報取扱事業者に該当する理由は?
改正前の法に個人情報取扱事業者から除外される者の条件として、取扱う情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者という条文があったが、それが削除されたから

・業務用 IT ツールの利用による営業効率の最大化及び営業活動の可視化。
・情報セキュリティ対策の強化

両課室は、PC 管理ツール及びセキュア USB メモリを旧 X 社のポリシの全社適用と同時に全社導入することを 2017 年 1 月中旬に全従業員に通知した。PC 管理ツールには、USB デバイス管理機能が含まれている。通知後、旧 Y 社の営業員から反対意見が管理課に寄せられたので、C 室長は旧 Y 社の情報資産の取扱いにおけるリスクを旧 Y 社の営業員に説明した。B 課長と C 室長は、旧 X 社のポリシの適用及び 2 対策の導入について、効果、業務への影響、現場の意見を確認するために旧 Y 社の営業所 1 か所で試行導入るすることを検討した。B 課長と C 室長の検討の結果、反対意見が多く、情報資産の取扱いがもっともずさんで試行導入後の業務への影響が大きそうな北関東営業所で試行することを委員会に諮り了承された。

北関東営業所の概要

・北関東 3 県の広域なエリアの顧客をカバーする営業所
・所長と事務補助員の他に、18 名の営業員を配置
・通常、営業員は、日中、顧客先を回るために社有車を運転して外出
・合併以前の北関東営業所は、旧 Y 社の中でも業績の悪かった営業所の一つ
・旧 X 社南関東営業所の所長であった D 氏が 2016 年 10 月に所長に任命され、業績を当て直し中

メールの誤送信

北関東営業所での 2 対策の試行内容の概要は次のとおりである。2017 年 3 月 6 日から、北関東営業所で旧 X 社のポリシの全面適用及び 2 対策の試行を開始した。

北関東営業所での 2 対策の試行内容

1.  PC 管理ツール
(ア) PC 管理用サーバ
・業務 PC の起動及び終了の履歴や利用者の操作履歴などを収集
・業務 PC への接続を許可するセキュア USB メモリを登録
(イ) PC 管理用クライアントソフト
・業務 PC にインストールして利用、業務 PC の起動及び終了の履歴や利用者の操作履歴など
を PC 管理用サーバにアップロード
・ PC 管理用サーバに登録したセキュア USB メモリだけ接続を許可
2.セキュア USB メモリ
・マルウェア対策ソフトを搭載し、ハードウェアによるデータ自動暗号化機能を実装
・営業所内での貸与数は、試行における予算内で購入可能な 10 個
・貸出の制約条件:一人につき1個まで
・利用したい者は、氏名、借用期間を期した借用申請書を所長に提出
・シリアル番号キーとした管理台帳に借用申請書上の利用者氏名及び借用期間を所長に記録

2017 年 3 月 17 日正午、北関東営業所の営業員の E さんの担当顧客 M 氏が、無題かつ本文なしであるが添付ファイル付きのメールを受信した。不審に思い、同日午後 2 時、その旨を営業所にいた D所長に電話で伝えた。その直後、D 所長から M 氏の電話内容を聞いた E さんは、誤送信を M 氏に謝罪し、そのメールを削除を依頼した。そのメールには、社外秘文書ファイルが添付されていたが、そのファイルは旧 X 社のポリシに則して「 パスワードによって保護 」してあった。その為、M 氏は、ファイルを開こうとしたが開くことができず、内容の確認ができなかったので、情報漏洩という重大な事故には至らなかった。D 所長はこの件について B 課長に報告した。B 課長は、念のために、試行開始後、他の営業員も E さんと同様のメール誤送信がないか D 所長に調査を依頼したところ②メール誤送信には至らなかったが、送信直前の確認で宛先の間違いに気づいて修正してから送信した事例が 6 件あったという報告を受けた。B 課長は、このままでは後に重大な事故がおきると考え、メール誤送信未遂と E さんの件の詳しい調査を D 所長に依頼した。
②のような事例をなんというか?
ヒヤリハット

情報セキュリティガバナンスの向上

D 所長は、E さんへの聞き取り調査の結果、をまとめた

E さんへの聞き取り調査の結果

・2016 年度下期の営業成績が目標未達であったので、業績改善に躍起になっていた。
・社外秘文書ファイルは、M 氏が所属する会社とは別の会社向けに、X 社からの値引き後の販売価格を提示するため、3 月 17 日午前中に、業務 PC で作り始めたものであった。その日は金曜日であったので、午後の客先訪問後、自宅に直帰し、土日に自宅で③会社の許可を得ないまま、個人所有の PC を使用して社外秘文書ファイルの作成の続きを行うことにした。客先訪問前に社外秘文書ファイルをセキュア USB メモリに入れて持出そうとしたが、全てのセキュア USB メモリが貸し出し中であったので E さんが使用できるものはなかった。E さんの個人所有の USB メモリを業務 PC に接続したが、使用できなかった。
下線③のような行為は?
シャドーIT
・旧 X 社のポリシには、メールクライアントソフトへの私用のメールアドレスの登録を禁止する条文がなかったので E さんの私用のメールアドレスを登録したままであった。試行開始後も、社外秘文章ファイルを E さんの私用メールアドレス宛のメールに添付して送信し、自宅の個人所有の PC で編集を行っていた。
・社外秘文書ファイルは、1M バイトであったので E さんの私用メールアドレス宛てのメールに添付して送信を試みた。その時、メールクライアントソフトの宛先入力自動補完機能によって先頭数文字が同じ M 氏のメールアドレスにが誤選択された。午後の客先訪問に遅刻しそうで急いでいたので、宛先メールアドレスをよく確認せず送信してしまった。

D 所長は、3 月 17 日時点でのセキュア USB メモリの管理台帳を確認し、貸出中のものの中には借用期限が過ぎたものが 5 個あったこと、一人で 2 個以上のセキュア USB メモリを同時に借りていた営業員 3 人いたことを B 課長に報告した。B 課長は、D 所長から報告を受けた直後、E さんが用いた業務 PC 、メールアーカイブサーバなどの調査を経営企画室に依頼した。経営企画室が④E さんがメールの添付ファイルのパスワードを聞きながら調査を進めたところ、試行開始後に E さんが旧 X 社のポリシに違反していたことが確認できた。そのため、B 課長は、E さんと話をしてメール誤送信の根本的な原因を明らかにすることにした。
下線④でどのような調査方法で、どのような違反が見つかったか?
調査方法:E さんが利用している業務メールアドレスについてメールアーカイブサーバを調査した。
違反:E さんが社外秘文章ファイルを添付したメールを自身の私用のメールアドレス宛に送信していた。

北関東営業所の営業員に試行内容を周知し、加えて、メールの宛先入力自動補完機能の使用禁止について意見を聞いた。そうしたところ、営業員から要望が出されたのでそれらの要望を試行に関する報告書の一部として取りまとめた。

B 課長が取りまとめた営業員からの要望

(a) 業務 PC をノート型に変更し、社外での業務利用を可能にしてほしい。
(b) セキュア USB メモリの借用申請書の提出を廃止してほしい。
(c) セキュア USB メモリの営業所内での貸与数を営業員数と同じにしてほしい。
(d)メールの宛先入力保管機能は便利なので、使用を継続させてほしい。
(e) 営業員の意見を取り入れる仕組みを設けてほしい。

(a)は、営業員の営業効率の向上には有効なので同意します。ただし、(a) を実現するためには⑤次の二つの条件を両方満たす対策が必要です。一つ目は、データの漏洩・消失リスク又はそれによる被害のリスクが低減可能であること、二つ目は、社長方針に沿う事です。(b) 及び (c) については、D 所長によるセキュア USB メモリの管理台帳の確認結果と E さんへの聞き取り調査の結果からわかる問題のうち幾つかを解決すれば (b) 及び (c) の要望自体がでなくなります。一方 (d) の宛先入力保管機能は、今回のメール誤送信を引き起こした原因の一つなので、無効化すべきと考えます。
下線⑤もついて対策として適切なものは?
・BIOSのパスワードに、他人に推測されにくい文字列を設定する
・OSのパスワードに、他人に推測されにくい文字列を設定する
・旧X社のポリシに則したパスワードを用いてハードディスク全体を暗号化する
・社外で漏洩・消失が発生した場合の対応フローを策定する
・ディスプレイにのぞき見防止フィルタ装着する

(b)及び (c) については、C 室長の意見に賛成です。しかし、(d) 及び (c) については、この機能がないとメールアドレスを全て手で入力することになるので、非常に不便だと思います。旧 X 社のポリシに従って誤送信も低減できる形で、メールの宛先の入力を便利にする方法はありませんか。

二つの方法があります。一つは、宛先入力自動補完機能を無効化させた上で「 メールクライアントソフトのメールアドレス帳を活用し、メールを送信したい相手の氏名による検索によって、メールアドレスを選択する手順を従業員に教育する 」という方法です。二つ目は、宛先入力自動補完機能を無効化させずに「 メール誤送信防止ツール新たに導入してメール送信前に利用者が宛先確認するための画面を表示し、即時送信を抑止する 」という方法です。
(d) は要望通りとして、追加費用は掛かりますが「  メール誤送信防止ツール新たに導入してメール送信前に利用者が宛先確認するための画面を表示し、即時送信を抑止する 」という方法が情報セキュリティ対策としてバランスが良いと思います。(e) については、現場の意見を聞くためのワーキンググループを立ち上げたいと思います。そして、現場 WG をまとめられる人材に現場 WG を運営してもらって業務効率向上と情報セキュリティ対策強化が両立できる対案をまとめてもらえるよう A 部長と相談します。

A 部長及び C 室長は、委員会において、試行結果及びメール誤送信の報告をおこなった。委員会では、始めは社長方針の実現のために「 トップダウンアプローチ 」で取組、更に現場の意見をくみ取るという「 ボトムアップアプローチ 」によってバランスをとるという B 課長の姿勢が高く評価された。A部長は、B 課長からの相談内容について、現場 WG の設置を委員会に提案し、承認をされた。その後、4 月 1 日に旧 X 社のポリシが全社適用された。更に、上場企業に必要な「 内部統制」の六つの基本的要素の一つである IT への対応の準備、全社的な業務の効率化、情報セキュリティガバナンスの強化が図られることになった。