Written by アイミ
目次
中小企業の情シス1,000人に聞いた!
「クラウドサービスのセキュリティ対策」実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
設定ミスによる情報漏洩を事前に察知
Microsoft 365のセキュリティ対策
クラウドサービスの設定ミスによる情報漏洩事故が増加しています。総務省のガイドラインでも推奨される適切な対策をご紹介します。
2022年4月に「改正個人情報保護法」として大きく改版された、個人情報保護法。
この改正によって、情報漏洩が発生した際には、報告義務及び本人に対する通知の義務が追加されました。また、措置命令違反、報告義務違反をした場合の罰金刑の引き上げなど、罰則規定の見直しなどが行われています。
本記事では、「調べてみたけど、よく分からない…」「具体的にはどう対策すればいいの?」という方向けに、その概要と対策、そしてLANSCOPE セキュリティオーディターで管理できる範囲をご紹介していきます。
1.企業に求められる「個人情報保護」とは?
改正個人情報保護法のベースとなっている「個人情報保護法」が、そもそもどのような内容かご存知でしょうか?個人情報保護法では「個人情報データベース等を事業の用に供している者」を個人情報取扱事業者と定義し、義務や罰則を規定しています。取引先の担当者の氏名と所属する企業名が特定できるメールアドレスや、企業で管理している従業員の氏名、住所など、日常的に業務で取り扱っている情報が個人情報に該当します。
また、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために、必要かつ適切な措置を講じなければならない」としています。
では個人情報を取り扱う際必要な「必要かつ適切な措置」とはどのようなものでしょうか。
2.ガイドラインで定められた4つの安全管理措置
上記であげた「必要かつ適切な措置」について、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(以下、ガイドライン)で詳細が確認できます。
ガイドラインでは、「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全措置」という4つの面の安全管理措置を挙げています。
個人情報を実際に取り扱うのは主に従業員となりますが、適切に個人情報が取り扱われているかどうかは企業全体で主体的に監督していく必要があります。
ご紹介したガイドラインでは、安全管理措置における具体的な対応内容も例示しています。例えば、「物理的安全管理措置」では①入退館(室)管理の実施②盗難等の防止③機器・装置等の物理的な保護、などです。
昨今では個人情報を含む企業の重要な情報をクラウドサービスのストレージ上で管理することも多いため、物理的に情報を守る対策以外にも、個人データを取り扱うクラウドサービスの管理も重要です。個人情報の含まれるファイル等を管理したい場合は、下記の理由から操作ログの取得・確認をおすすめします。
- いざという時にログで証拠が残るため、「誰が」「いつ」「どのように」不正な操作をしたのかを追いやすくなる
- 日常的にログを管理することで、普段と違うログが取得された際にいち早く対応ができる
3.LANSCOPE セキュリティオーディターで支援できる個人情報保護対策をご紹介
今回は弊社がご提供するLANSCOPE セキュリティオーディターで対策できる、ログを活用したクラウドサービス上の個人情報保護の対策をご紹介します。なお、本製品では企業で導入の進むクラウドサービス「Microsoft 365」との連携・ログ取得を対象としています。
組織的安全管理措置
組織的安全管理措置として講じなければならない事項(抜粋)
- 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
個人情報保護のため規定を整備したとしても、運用できなければ意味がありません。例えば、Microsoft 365 の監査ログを取得してチェックする、という規定を制定したとします。Microsoft 365には監査ログを取得・確認する機能はありますが、ログの各項目をMicrosoft 公開情報と照合しないと読み解けないため、日常的に管理するには負担の大きい作りになっています。
LANSCOPE セキュリティオーディターでは、Microsoft 365の監査ログを自動取得。
誰が見ても分かりやすいよう「誰が」「いつ」「何をしたか」が明確に表示されます。また、取得したログはコンテンツごとにレポート化されるため、日常的にログを管理する場合も負担無く実施できます。
LANSCOPE セキュリティオーディターを利用することで、日常的に監査ログを管理できる環境の整備に繋がります。
技術的安全管理措置
技術的安全管理措置として講じなければならない事項(抜粋)
- 個人データのアクセスの記録
- 個人データを取り扱う情報システムの監視
LANSCOPE セキュリティオーディターでは、「組織的安全管理措置」の項目でご紹介した監査ログ取得機能だけでなく、リスクの高い操作をアラートとして設定することも可能です。
例えば、指定したキーワードを含むフォルダやファイルを共有した場合にアラートにする「キーワード共有アラート」を利用すれば、タイトルに「個人情報」や「顧客リスト」が含まれるファイルの外部共有をいち早く察知できます。
一般的にはアラートが発生した際にはメールでの通知が多いですが、LANSCOPE セキュリティオーディターでは普段お使いのビジネスチャット※からの通知が可能です。
- Microsoft Teams / LINE WORKS / Chatwork / slack / Google Chat が対象です。
人的安全管理措置
人的安全管理措置人的安全管理措置として講じなければならない事項(抜粋)
- 従業者に対する内部規程等の周知・教育・訓練の実施
冒頭でも挙げたように、個人情報を実際に取り扱うのは主に従業員です。管理者だけでなく、従業員にも情報を取り扱う際のリテラシーが求められます。
LANSCOPE セキュリティオーディターでは、従業員が規定違反の操作をした場合、管理者だけでなく従業員本人にも通知が可能です。どの操作がアラートに抵触したのかを通知することで、内部規定の周知に繋がります。
また、通知機能で、違反操作をしてしまった後必要な対応の手順等をあわせて通知もできます。例えば、通知設定の関連する項目に「アラート通知があった場合」という項目を用意し、「通知を受け取ったら、すぐにシステム部門へ連絡してください」というメッセージと共に電話番号やメールアドレスを表示すると、より迅速な対応が期待できます。
アラートの詳細を通知するだけでなく、その後の手順もあわせて案内できるため、利用者は迷うことなくその後の対応ができます。
様々なルールが定められている「改正個人情報保護法」ですが、ツールを利用することで大幅に負担を減らすことができます。本記事ではLANSCOPE セキュリティオーディターの一機能を抜粋し、ご紹介しましたが、上記ではご紹介しきれなかった様々なセキュリティ対策機能を実装しています。個人情報保護を始めとしたセキュリティ対策がまだ十分ではない、という方は、ぜひセキュリティオーディターの機能や概要が3分で分かるご紹介資料をご確認ください。
設定ミスによる情報漏洩を事前に察知
Microsoft 365のセキュリティ対策
クラウドサービスの設定ミスによる情報漏洩事故が増加しています。総務省のガイドラインでも推奨される適切な対策をご紹介します。
