情報セキュリティマネジメント試験 平成30年春(2018)午後 ③企業統合における情報セキュリティガバナンス

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. シャドーIT、ヒヤリハットとは
  2. 個人情報保護法で変更があった部分
  3. 内部統制とは
  4. 情報漏洩のリスクと低減する考え
  5. メールの誤送信なくす方法



はじめに、架空の会社 X 社の説明

X 社は、本社の他に 20 か所の地方営業所を有する、法人向けオフィス機器などの販売代理店業を営む非上場会社で、従業員数は 320 名である。従業員のうち営業に従事する者は 200 名である。X社は、旧 X 社が同業で業績が低迷していた旧 Y 社を販路拡大のために 2016 年 4 月 1 日に吸収合併してできた。
X 社の社長は、合併直後、株式の上場、取引先からの信頼の維持・向上及び事業継続性の向上のために全社的な業務の効率化、コーポレートガバナンスの強化及び社内の情報システムの計画的な統合を図ることを社長方針として周知した。

営業所数は、旧 X 社が 15 ,旧 Y 社が 10 であったが、合併後、統廃合によって旧 X 社が14 、旧 Y 社が 6 の計 20 となった。合併時点で、旧 Y 社からの事業の承継に伴い提供された顧客データを含め、X 社の顧客データベースに登録されている顧客企業の購買担当者数は 2800 名となった。

X 社では、全ての営業所に LAN 環境が整備されている。各営業所の従業員は、会社貸与のデスクトップ PC を LAN 環境に接続して使用している。本社と各営業所の LAN の間は WAN 回線で結ばれ、本社においてインターネットに接続されている。旧 X 社及び旧 Y 社での業務用 IT ツールの利用方法は次に示す。2016 年 3 月末時点での旧 X 社の情報セキュリティポリシも次に示す。

両社での業務用 IT ツールの利用方法

旧X社のポリシ

ポリシは、旧 X 社だけが整備していた。旧 X 社のポリシを旧 Y 社の営業所へ適用する時期については、経営企画室が検討し、委員会に諮ことにした。そこで、C 室長は、情報資産の特定及びリスクアセスメントを 2016 年 5 月中旬から開始し、現状の情報資産の取扱状況及び情報セキュリティ対策を調査したところ、同年 6 月中旬に、旧 X と比べて旧 Y 社の営業所での情報資産の取扱いがずさんなことが明らかになった。

情報システムの利用の変化

X 社では、旧 X で導入済みの営業支援ツールの利用を 2016 年 7 月から全社的に開始した。同年 8 月からは、業務用のメール利用も旧 X 社で導入済の方式に全社で統一し、メールの添付ファイルのサイズを 5 Mバイト以下とする設定にした。同時に毎年、社外への送信メールを監視することにし、監査証跡として 1 年間分の送信メールを残すために、メールアーカイブサーバーをメールサーバーとは別に設置した。
経営企画室が 2016 年 9 月に合併後の従業員満足度及び旧 X 社のポリシの全社適用についての社内アンケートを行った。その結果、旧 Y 社の営業員から不慣れな業務用 IT ツールの利用による勤務時間の増加に対する不満、及び旧 X 社のポリシを全社に適用する方針についての反発が多いことが分かった。そこで、旧 X 社のポリシの適用は旧 Y 社の営業所では、条文によって時期を分け、2016 年 10 月から 1 年かけて段階的に行う方針を委員会で決定した。

段階的なポリシの適用を進めていたところ、2015 年に改正された個人情報の保護に関する法律の全面施工日を 2017 年 5 月 30 日とする政令が 2016 年 12 月 20 日に閣議決定された。X 社が取り扱う個人情報は、合併以降 2016 年 12 月 20 日まで 3800 件を超えることはなかったが、改正法の全面施工日以降は、改正前の法に個人情報取扱事業者から除外される者の条件として、取扱う情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者という条文があったが、それが削除されたから X 社も、個人情報取扱事業者に該当することになる。そこで、委員会では方針を変更し、2017 年 1 月 10 日に、旧 X 社のポリシを 2017 年 4 月 1 日にから全社適用することにした。社長から経営企画室及び管理課に対して、旧 X 社のポリシの全社適用と社長方針の具体的推進を行うよう指示があった。特に、社会的責任にも配慮したコーポレートガバナンスとそれを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から、社内に構築・運用するよう指示があった。そこで、両課室は、次の検討を開始した。
・業務用 IT ツールの利用による営業効率の最大化及び営業活動の可視化。
・情報セキュリティ対策の強化

両課室は、PC 管理ツール及びセキュア USB メモリを旧 X 社のポリシの全社適用と同時に全社導入することを 2017 年 1 月中旬に全従業員に通知した。PC 管理ツールには、USB デバイス管理機能が含まれている。通知後、旧 Y 社の営業員から反対意見が管理課に寄せられたので、C 室長は旧 Y 社の情報資産の取扱いにおけるリスクを旧 Y 社の営業員に説明した。B 課長と C 室長は、旧 X 社のポリシの適用及び 2 対策の導入について、効果、業務への影響、現場の意見を確認するために旧 Y 社の営業所 1 か所で試行導入るすることを検討した。B 課長と C 室長の検討の結果、反対意見が多く、情報資産の取扱いがもっともずさんで試行導入後の業務への影響が大きそうな北関東営業所で試行することを委員会に諮り了承された。

北関東営業所の概要

メールの誤送信

北関東営業所での 2 対策の試行内容の概要は次のとおりである。2017 年 3 月 6 日から、北関東営業所で旧 X 社のポリシの全面適用及び 2 対策の試行を開始した。

北関東営業所での 2 対策の試行内容

2017 年 3 月 17 日正午、北関東営業所の営業員の E さんの担当顧客 M 氏が、無題かつ本文なしであるが添付ファイル付きのメールを受信した。不審に思い、同日午後 2 時、その旨を営業所にいた D所長に電話で伝えた。その直後、D 所長から M 氏の電話内容を聞いた E さんは、誤送信を M 氏に謝罪し、そのメールを削除を依頼した。そのメールには、社外秘文書ファイルが添付されていたが、そのファイルは旧 X 社のポリシに則してパスワードによって保護してあった。その為、M 氏は、ファイルを開こうとしたが開くことができず、内容の確認ができなかったので、情報漏洩という重大な事故には至らなかった。D 所長はこの件について B 課長に報告した。B 課長は、念のために、試行開始後、他の営業員も E さんと同様のメール誤送信がないか D 所長に調査を依頼したところメール誤送信には至らなかったが、送信直前の確認で宛先の間違いに気づいて修正してから送信したというヒヤリハットの事例が 6 件あったという報告を受けた。B 課長は、このままでは後に重大な事故がおきると考え、メール誤送信未遂と E さんの件の詳しい調査を D 所長に依頼した。

情報セキュリティガバナンスの向上

D 所長は、E さんへの聞き取り調査の結果、をまとめた

E さんへの聞き取り調査の結果

上記の会社の許可を得ないまま、個人所有の PC を使用して社外秘文書ファイルの作成の続きを行うことにした。このような行為をシャドーITという。

D 所長は、3 月 17 日時点でのセキュア USB メモリの管理台帳を確認し、貸出中のものの中には借用期限が過ぎたものが 5 個あったこと、一人で 2 個以上のセキュア USB メモリを同時に借りていた営業員 3 人いたことを B 課長に報告した。

B 課長は、D 所長から報告を受けた直後、E さんが用いた業務 PC 、メールアーカイブサーバなどの調査を経営企画室に依頼した。

経営企画室が、試行開始後に E さんが利用している業務メールアドレスについてメールアーカイブサーバを調査したところ、社外秘文章ファイルを添付したメールを自身の私用のメールアドレス宛に送信していた。という旧 X 社のポリシに違反していたことが確認できた。そのため、B 課長は、E さんと話をしてメール誤送信の根本的な原因を明らかにすることにした。

北関東営業所の営業員に試行内容を周知し、加えて、メールの宛先入力自動補完機能の使用禁止について意見を聞いた。そうしたところ、営業員から要望が出されたのでそれらの要望を試行に関する報告書の一部として取りまとめた。

B 課長が取りまとめた営業員からの要望

(a)業務 PC をノート型に変更し、社外での業務利用を可能にして欲しい。の実現のための対策として適切なものは?
・BIOSのパスワードに、他人に推測されにくい文字列を設定する
・OSのパスワードに、他人に推測されにくい文字列を設定する
・旧X社のポリシに則したパスワードを用いてハードディスク全体を暗号化する
・社外で漏洩・消失が発生した場合の対応フローを策定する
・ディスプレイにのぞき見防止フィルタ装着する

(b) 及び (c) については、この機能がないとメールアドレスを全て手で入力することになるので、非常に不便だと思います。旧 X 社のポリシに従って誤送信も低減できる形で、メールの宛先の入力を便利にする方法はありませんか。

二つの方法があります。一つは、宛先入力自動補完機能を無効化させた上でメールクライアントソフトのメールアドレス帳を活用し、メールを送信したい相手の氏名による検索によって、メールアドレスを選択する手順を従業員に教育するという方法です。二つ目は、宛先入力自動補完機能を無効化させずにメール誤送信防止ツール新たに導入してメール送信前に利用者が宛先確認するための画面を表示し、即時送信を抑止するという方法です。

(d)の、メール宛先入力補完機能は便利なので、使用を継続させて欲しい。 は要望通りとして、追加費用は掛かりますがメール誤送信防止ツールを新たに導入してメール送信前に利用者が宛先を確認するための画面を表示し、即時送信を抑止するという方法が情報セキュリティ対策としてバランスが良いと思います。

A 部長及び C 室長は、委員会において、試行結果及びメール誤送信の報告をおこなった。委員会では、始めは社長方針の実現のためにトップダウンアプローチで取組、更に現場の意見をくみ取るというボトムアップアプローチによってバランスをとるという B 課長の姿勢が高く評価された。A部長は、B 課長からの相談内容について、現場 WG の設置を委員会に提案し、承認をされた。その後、4 月 1 日に旧 X 社のポリシが全社適用された。更に、上場企業に必要な内部統制の六つの基本的要素の一つである IT への対応の準備、全社的な業務の効率化、情報セキュリティガバナンスの強化が図られることになった。



関連する用語

内部統制
企業の内部において,財務諸表の信頼性の確保,事業経営の効率性の向上および事業経営にかかわる法規の遵守を促し,不正や違法行為などが事前に防止されるよう,基準や手続きを業務ごとに定め,それに基づいて管理・監視を行うこと。

情報セキュリティガバナンス
企業経営の主目標は、株主、顧客、取引先、従業員、社会等の利害関係者に対して責任を果たすこと、つまり、「企業価値の向上」及び「社会的責任の遂行」にあり、これを支える重要な取組の一つにリスク管理が位置づけられる。様々なリスクの内、情報資産に係るリスクの管理を狙いとして、情報セキュリティに関わる意識、取組及びそれらに基づく業務活動を組織内に徹底させるための仕組みを構築・運用することを情報セキュリティガバナンスと位置づける。




学習の確認

  1. シャドーIT、ヒヤリハットとは
  2. 個人情報保護法で変更があった部分
  3. 内部統制とは
  4. 情報漏洩のリスクと低減する考え
  5. メールの誤送信なくす方法