こんにちは、アブポイントのトニーです。
今やサイバー攻撃による情報漏洩、搾取は企業に甚大な損害をもたらし得る大きなリスクです。一方で、例えば従業員による意図的な情報の流出、あるいは過失による USB メモリーなどの紛失といった内部からの漏洩も、依然として極めて大きなリスクであることは論を要しません。こうした外部・内部双方からの脅威に対応するために、情報・データに対する統合的なリスク管理が求められています。
弁護士目線からの情報セキュリティ対策
先日、オリック東京法律事務所の髙取芳宏弁護士 とともに、企業の情報セキュリティ対策を考える共同セミナーを都内で開催しました。
多くの日本企業が国境を超えて事業を展開している現在、海外拠点での情報流出および人材を通じた国際的な技術流出のリスクが増加するとともに、日本企業が米国など海外で訴訟を起こされるリスクも高まっています。こうしたリスクに企業はどう対応すべきなのでしょうか?
セミナーでは、髙取弁護士から、「国境を超えた情報管理・サイバーセキュリティ訴訟・コンプラインスのためのサイバーセキュリティ戦略」 というテーマでお話をいただきました。
不正競争防止法などの法律とサイバーセキュリティの両側面から、「予防段階」、「戦略構築段階」 「紛争、調査遂行段階」 の 3 ステップに則り、押さえるべきリスク管理のポイントを語っていただきました。
有事発生後の監督官庁からの監査や国際裁判に備えて、有利な証拠をつくり、不利な証拠をつくらないようにするというのが一つのポイントでした。そのためには、平時からのデータ コントロールが重要とのことでした。
また、企業の秘密情報と知的財産を守り抜くために、重要なのは企業の経営者・法務・知財・人事・IT 戦略担当が、法律事務所、サイバーセキュリティ専門事業者と一丸となり対応しない限り、e-Discovery 対策などグローバルでは通用しないというこわーいお話も伺いました。
AvePoint のデータ損失防止ソリューション
後半は、有事に備えて平時からのデータ コントロールが重要との髙取弁護士の話を受け、弊社 CTO の塩光から、弊社の取り組みに加え、まずは社内にある 「ダークデータ(※)」 を適切に情報分類 (Data Classification) し、公開可能・社外秘・機密情報といったレベルに応じて保管領域 (Security Zones) を定めることの重要性を訴えました。機密レベルに応じたデータの保管ルールなどのデータ管理ポリシーを策定したら、次にデータ管理ポリシーをエンドユーザーに展開し、確実に守ってもらうための方法を、自社の コンプライアンス・ガバナンス製品 を交えてご紹介しました。
※ダークデータ: 価値がある(もしくはあるかもしれない)にもかかわらず、集積・蓄積されるだけで活用されていないデータのこと。
なお、塩光から、社内にガバナンス委員会を発足するにあたっては、技術部門だけでなく必ず業務部門のメンバーも委員に入れる必要があることも指摘しました。なぜなら、技術部門だけですと、技術視点で情報を 「守る」 ことに重点を置いたセキュリティシステムを作ることになってしまい、エンドユーザーにとっての使いやすさが失われてしまうからです。
情報セキュリティ セミナーを振り返って
私の記憶に 2つのことが印象深く残っています。1 つは、コンプライアンスの鉄則として、下記の4つを押さえておけという髙取弁護士からのメッセージと、2 つ目は米国の法律では、内部告発をした社員あるいは元社員に対して、その企業に課せられた罰金の 10% が支払われるというシステムです。300 億ドルの内部告発案件だとズバリ 30 億ドルが罰金の中から告発者に支払われるのです。これを退職金と考えるとかなり魅力的な金額と思えるのは私だけでしょうか。
1. 民事
2. 刑事
3. 行政
4. メディア・世論
私のセキュリティ バイブルとの出会い
実は、今回の髙取弁護士との共同セミナーは、私が半年前に出会った 1 冊の本がきっかけで実現されました。
その本とは、今回、セミナーの共同開催にご協力いただいた、髙取弁護士が執筆した 「訴訟・コンプライアンスのためのサイバーセキュリティ戦略」 (NTT 出版) という本です。
私は、6 月に AvePoint Japan に転職してくるまで、長らくネットワーク セキュリティ ベンダー数社に在籍しておりました。標的型攻撃など外部攻撃対策の世界にいたわけです。しかし日本年金機構や、ベネッセコーポレーションの情報流出事故など、昨今頻発しているセキュリティ インシデントを鑑みると、外部からのサイバー攻撃対策だけでは不十分であり、内部攻撃対策も取る必要があると常々感じていました。内部攻撃対策に対応したデータ損失防止 (Data Loss Prevention) の製品を展開している AvePoint への転職を後押ししてくれたのがこの本でもありました (笑)。
情報セキュリティ対策には、法律家とのコラボレーションが不可欠
IT 目線から少し離れた領域で機密情報漏洩・情報セキュリティ対策を考えると、法律家とのコラボレーションが不可欠です。経営者が情報セキュリティ対策を経営課題と捉え、率先し理解を示し、まずは経営者自らが陣頭指揮を取り、社内に混在しているデータ (ダークデータ) の整理整頓 (分類、タグ付け) から取りかかる姿勢を見せる必要があると思います。
次に、整理されたデータ (機密データ) に権限設定をし、運用モードに入りそれを繰り返すことにより、機密情報流出からの危険を回避できることになりますが、このダークデータの整理整頓には経営者・法務・知財・人事・IT が一丸となる必要があると髙取弁護士は声を大にしてお伝えしていました。セキュリティ従事者だけでなく、経営者の皆様にも大変参考になりますので一度、上述の書籍に目を通していただけると、情報セキュリティ対策のはじめの一歩が見えてくるはずです。