情シス任せにしない! 情報セキュリティ事故防止: インシデント防止に組織全体で取り組むために必要なこと
こんにちは。AvePoint の Mark Li です。セキュリティ製品 Compliance Guardian (コンプライアンス ガーディアン) の製品開発を担当しています。
企業からの情報セキュリティ事故が相次いでいます。この記事を読んでくださっている皆様の会社では、どのような対策が講じられていますか? 「誰」が中心となって、「どのような」対策が取られていますか? 業種や規模などによって差はあるかもしれませんが、おそらく、一般的な企業・組織では、コンプライアンス担当者・IT 管理者が中心となっているのではないでしょうか。
しかし、組織や企業では、様々なデジタル データが毎日のように大量に作成・更新されています。そして、企業規模が大きくなればなるほど、従業員数が多ければ多いほど情報量は増加していきます。
コンプライアンス・IT 担当者は、「従業員によるファイル共有は社内のポリシーに沿ったものであるか」「個人情報が含まれているファイルが不特定多数の人がアクセス可能な場所に保管されていないか」 などを監視する役割を担っていますが、組織や企業で作成されるデータの膨大さを考えると、すべてを完全にカバーし、完璧な保護を IT 部門やコンプライアンス部門だけで実行するのは、非効率的であり非現実的であるともいえます。
情報セキュリティ対策を効率的に運用させるためのキーポイントのひとつは、IT 部門・コンプライアンス部門が、実際にファイルの作成・更新している現場のメンバーと緊密な連携をすることです。これは例えば、セキュリティ インシデントの対応を IT 部門・コンプライアンス部門がすべて実行するのでなく、一部は現場の担当者に対処してもらう、などという方法で実現できます。そして、このような 「組織内振り分け」 を実現するのが、AvePoint Compliance Guardian なのです。
次のセクションでは、この 「振り分け」 のユースケースを、現実のシナリオに沿ってご紹介します。
保険会社 X 社のセキュリティ対策の場合
情報セキュリティ対策のために AvePoint Compliance Guardian を導入している保険会社 X 社では、営業部をはじめ様々な部門で、SharePoint と Yammer を利用しており、ポータルなどでの資料共有および社内コミュニケーションを行っています。
X 社では、部門長の A さん、部下で営業部門のセキュリティ情報監査を担当する B さんからなる IT 部門が、セキュリティ関連の問題解決を担当しています。また、営業部門では、C 部長、D 課長、一般社員の E さんなどが働いています。
主業務を保険業とする X 社は、大量の顧客個人情報を保有しており、特に営業部門では、大量の新規の保険申請者の情報を日常的に扱っています。社内ポリシーにより、お客様の個人情報の取り扱いは、営業部門が厳重に管理し、アクセスが限られる場所に保管することが義務付けられています。
SharePoint でセキュリティ インシデントが発生? IT 部門・営業部門の連携で対応
IT 部門は、Compliance Guardian を使って、SharePoint ・Yammer で毎日実行されている、ファイルのアップロード・更新などのアクションを常時モニタリングしています。
ある日の業務時間。営業部メンバーの E さんが、個人情報が含まれているファイルを SharePoint にアップロードしようとしているのを Compliance Guardian が検知しました。アップロード先の SharePoint のライブラリには、他部署の人員もアクセス可能であるため、このアップロードは情報管理ポリシーに違反している可能性があります。
ファイルのアップロードは Compliance Guardian によってブロックされ、E さんがアップロードしようとしたファイルは、SharePoint へのアップロードに失敗しました。
以下のポップアップ メッセージが E さんの SharePoint 画面に表示されました。E さんのファイルは別の場所に移動されたことがわかります。
一方、営業部の D 課長は、Compliance Guardian から受信したメール通知によって、部下の営業社員 E さんがアップロードしたファイルに何らかの問題があることを知りました。メールには、「インシデントの追跡をするように」 との指示が記載されています。
メール通知を受信した営業部の D 課長は、Compliance Guardian にアクセスして、部下の E さんが起こしたインシデントの追跡を開始します。D 課長に割り当てられた 「個人用タスク」 の一覧から、該当するインシデントを選択して詳細を確認します。
ここで D 課長は、このインシデントの処理方法を 「解決」「却下」「エスカレート」 の 3 種類から選択し、実行することができます。
■「解決」
Compliance Guardian を使ってファイルの中身を調べると、単なる他部署への通知用文書であるにも関わらず、フッター部分にクレジットカード番号のような 16 桁の数字が記載されていることが分かりました。
D 課長は SharePoint にアクセスして該当ファイルを開きました。E さんのファイルは、Compliance Guardian によって、役職が課長以上の人だけがアクセスできるよう、あらかじめ設定された場所に一時的に移動されています。
D 課長は、不要なカード番号を削除して保存しました。これでファイルは安全です。D 課長は 「解決」 を実行しました。D 課長がカード番号を削除したことにより、ドキュメントのポリシー違反は解決し、一時的に保管されている場所から E さんがアップロードしようした場所に自動的に移動されました。
D 課長は、ポリシー違反の定義を更新する必要があると考え、IT 部門にその旨を伝えるべく、コメント欄に記載して送信しました。フィードバックは Compliance Guardian を通じて、IT 部門に届けられます。
■「却下」
D 課長がインシデントの内容を確認したところ、部下の E さんが SharePoint にアップロードしたファイルにはお客様の個人情報が含まれているものの、業務上、他部署と共有する必要があるものでした。
このため、D 課長は 「却下」 を実行しました。ファイルはポリシー違反ではないと判断され、一時的に保管されている場所から E さんがアップロードしようした場所に自動的に移動されます。
■「エスカレート」
インシデントが重大なポリシー違反であるため上司に報告したい、あるいはポリシー違反かどうかは判断に困るという場合は、担当者は上司に問題をエスカレーションし、判断を仰ぐことができます。
今回の場合、D 課長が 「エスカレート」 を選択すると、本インシデントの処理を依頼する通知が営業部の A 部長に自動的に送信され、A 部長に対して本件の対応が依頼されます。
これらのアクションを実行することにより、処理済みのインシデントは、D 課長が対応すべきインシデントの一覧からは削除されました。
一方、IT 部門のメンバー、B さんは、営業部門・マーケティング部門などのポリシーの遵守状況を監視しています。
月次のレポートを作成するため、B さんは Compliance Guardian にアクセスし、営業部内でインシデントの追跡タスクを最も多く割り当てられた管理者の上位 10 名、インシデント件数を多く引き起こしている営業社員の 上位 10 名を調査しました。
B さんは、他部署と比べて営業部門のインシデント件数が多いことに気付きました。情報保護の取り扱いに関する社内規定を今一度、営業メンバーに周知させる必要があるようです。
B さんは上司の A 部長に Compliance Guardian から出力したレポートとともに、営業部のセキュリティ状況について報告しました。事態の深刻さを認識したA 部長は、営業部の C 部長に対し、インシデント件数が多い社員を集めた情報セキュリティの研修を実施してはどうかと進言することを決めました。
まとめ
いかがでしたか? Compliance Guardian の導入により、IT 部門と 他部門の連携が強化され、現場部門の担当者が直接セキュリティ インシデントに対処するという環境が実現します。また、ワークフローやレポート作成などの機能により、組織全体でのセキュリティとコンプライアンス管理が迅速かつ効率的に実行可能になります。
今回紹介したユースケースでは、Compliance Guardian の インシデント管理機能 が活用されています。インシデント管理機能は、2016 年 2 月 4 日に日本で発売された Compliance Guardian の最新版 に搭載された新しい機能です。さらなる詳細情報をご希望の方は、AvePoint Japan 営業部までご連絡 ください。
