データベース セキュリティ・コンソーシアム (DBSC)
DataBase Security Consortium 
第5回 |
2013/01/10 |
|
DBSC理事 西本 逸郎 株式会社 ラック これは、2009年2月当時の内閣官房情報セキュリティセンターが策定した第二次情報セキュリティ基本計画における重要なメッセージだった。国が定める計画に「事故前提」という、正論に囚われない現実的な考え方を取り入れたのは、画期的であり、正直少々びっくりしたことを、今でも覚えている。 一方、私たちを取り巻く環境は大きく変化した。スマートフォンやソーシャルメディアなどの、これほどまでの普及を、当時に予測できた人は少ない。同時に、多くの事件報道でも情報技術が深く関係するようになった。これは、情報技術を活用した社会が成長し、一般化したことの証左でもある。この圧倒的な環境変化に対して、この目指した「事故前提への対応力強化」の精神は極めて有効であることは、この四年での環境変化と事件多発により、ようやくではあるが、図らずも理解されるようになった。 例えば、当時はけっして表に出るとは予想だにしなかった「標的型攻撃」と称されるスパイ行為とされる被害報道も、一昨年以来、度々大きく報じられた。また、昨年の6月には、とあるレンタルサーバー会社でバックアップデータを含め消失し、利用者の保管データから復旧を行ってほしい旨の、お願いがなされる事件も発生した。ところが、個別にはデータ保管しておらず、事業再開に苦慮したところも多かったと聞いた。このような事件は、100%の安全を誰も保障できないことを、私たちに教えてくれた。 こうしたセキュリティ事件の多くで観測されるのが種々の「丸投げ」である。その中でも「部下」「協力会社」「情報システム部門」へが、三大丸投げ先である。皆さんも、なるほどと思えるところはあるだろう。これから考えると、事件が起きている背景も見えてくる。それは「丸投げ」というのは、事故が未前提となっているからである。 以上のことから、次の三つを提言したい。 1.「丸投げ」の再確認 まずは、個々の組織の中で、丸投げをピックアップしてみては如何だろうか。リスクへの対応として回避、軽減、移転、受容という有名な手段があるが「移転」できていると勘違いしていることも多い。 2.「データオーナー」の認識 データオーナーは、誤解を恐れず言うと、そのセキュリティ(機密性、完全性、可用性)を監督するものである。システム管理者はデータのオーナーではない。オーナーはデータのセキュリティを監督するために、特にシステム管理者にも気を許してはならない。また、外部に依存する場合も、その制御を考慮しなければならない。そして、そのオーナーとは誰かということである。全従業員にデータオーナーの可能がある。重要なことは、「機能」は代替できるが、「データの消失」は基本的に打つ手がないのである。 3.先ず隗より始めよ 経営者自ら、情報技術の利用技術向上を図り、データオーナーを実践することが有効である。一案としては、24時間経営が動けるように情報技術を活用することがある。経営者自らが情報技術を理解することで、組織力を高め、事業の継続が図れるというものである。また、情報技術に高度依存している現在、良く分からないからという理由での「丸投げ」は、例えば、契約のことは良く分からないという理由で、会社の実印を担当に預けていることに等しい。 |
| ■DBSCについて | ||||||||||||||||||
|
||||||||||||||||||
| ■DBSCからの情報発信 | ||||||||||||||||||
|
||||||||||||||||||
| ■ワーキンググループについて | ||||||||||||||||||
|
||||||||||||||||||
| ■各種案内 | ||||||||||||||||||
| ||||||||||||||||||
| ■会員専用ページ | ||||||||||||||||||
|
||||||||||||||||||
| ■入会案内 | ||||||||||||||||||
|
||||||||||||||||||
| ■事務局連絡先 | ||||||||||||||||||
DBSC事務局 |
||||||||||||||||||
|
Copyright(C),2004-2013 DataBase Security Consortium