第23回 建設業界における情報セキュリティ対策について
6月初旬、社労士事務所や一般企業の人事労務部門に情報処理サービスを提供する大手IT企業がランサムウェア攻撃の被害を受け、サービスの一時停止に追い込まれました。利用事業者数は数十万事業所ともいわれ、社会問題としても大きな影響を与えており、現在もシステムの復旧が進められています。
このケースでは、その取扱いシステムの特性上、個人情報、特定個人情報に関わる重要情報の保護、利用に多大な被害をもたらしていますが、この他にも、同じくランサムウェア攻撃を受け、国内有数の港湾事業が一次的に機能を停止せざるを得ない事案も7月に発生しました。
建設業界においても、従業員、顧客、取引先から預かる個人情報関連は当然として、企業の競争力や信用に直結する重要で複雑な情報を日々扱っています。見積もりや契約内容、工程表、材料・燃料の仕入情報、安全管理や品質管理に関わる記録、技術情報や設計図、知財情報などに対するセキュリティ対策には十分な配慮が必要です。
企業としての取り組みについて、二つの視点から触れてみます。
<基本対応について>
情報セキュリティポリシーの策定と周知
多くの企業のwebサイト上には「セキュリティポリシー」の掲載が見受けられますが、実態としては「個人情報保護方針」とほぼ同一視されたような扱いが感じ取れます。前述のように、個人情報以外の重要情報も幅広く扱う業界としては、企業情報、取引情報等を含めた包括的情報管理のスタンスが示されるべきです。
情報セキュリティ教育の継続的実施
慢性的な人材不足が招く、ある種の“綻び”は、情報安全の分野にも必ず影響します。従業員、スタッフの取り扱う情報レベルの重要度に応じた不断の教育・訓練は、リスク低減のための大切な要素です。
情報セキュリティ体制へのチェックと改善行動
自社に導入されている情報処理システム、利用しているクラウドサービスの技術的側面も含めたチェック体制を構築、運用しましょう。チェックの主体は内部的なもの(第一者監査)、外部的なもの(第三者監査)などがありますが、最近では同じく外部的なチェックとして直接取引関係のある相手によるチェック(第二者監査)への対応、受入れ(または実施)の相談も多く寄せられています。
情報セキュリティインシデントへの対応
いざ自社が直接的又は間接的に情報安全に纏わる事件・事故に遭遇した場合、どういった手順で対応に当たるのか?予め整理し体制を明確にしておきましょう。これはBCMの視点からも、復旧までの道程を想定し訓練することにより、利害関係者からの信頼を得る大切な活動となります。
<クラウドサービスの利用について>
中小建設企業においては、初期コストの圧縮や運用人材の確保の問題などから、情報処理にクラウドサービスを利用するケースも多いと思います。但し、潜在的リスクにも目を向けた対応が望まれます。対策の視点としては以下のような点を挙げることが出来ます。
提供されるサービスが自社の要求するセキュリティ要件に合致したものであることを確認しましょう。SLA(Service Level Agreement)は、当然自社としての要件が明確であることが前提です。
サービスの利用契約内容を確認しましょう。サービス提供サイドと自社との権利・義務関係を明確にしておきましょう(免責事項含む)。
サービス提供サイドのセキュリティポリシーや実績の評価を実施しましょう。ISMSの第三者認証制度や個人情報保護関連の第三者評価制度も、あくまでもサンプリング審査であり、結果に対し完全な保証をするものではありません。
利用サービスへのアクセス制御や暗号化などの技術的セキュリティ側面を確認しましょう。
障害発生時に影響を受ける利害関係者への報告活動を含む、具体的対応策を自社として準備しましょう。
代替手段への切り替えの自由度、柔軟性、対応手続きを確認しましょう。
以上
