機密情報の漏洩リスクに備える

2023年8月2日 2024年6月19日

本年、さる世界的食品メーカー企業にて5万数千人にのぼる従業員と元従業員の個人情報漏洩が明らかになりました。

原因は同社に法的サービスを提供する法律事務所にて情報漏洩が発生したこと。つまり取引先がサイバー攻撃を受ければ、社内の体制を固めるだけでは漏洩を防ぎきれません。同法律事務所では顧客データが保存されたコンピュータシステムの一部に不審な動きを発見、外部の調査機関と連携して攻撃による漏洩を確認しました。

漏洩データには従業員氏名や住所、生年月日、識別番号、社会保障番号、退職金と従業員貯蓄制度に関する情報が含まれ、幸運にも口座番号とクレジットカードデータの漏洩は確認されませんでした。

◆目次

サプライチェーン攻撃からの被害対策

サプライチェーン攻撃の基本として取引先や顧客パートナーのなかでも最も脆弱で防御が整っていない企業・組織がまず狙われます。取引先や顧客が多い企業の場合に何が対策として必要でしょうか。

取引先企業を含むサプライチェーンのサイバーリスク管理を一社だけで達成できないのは当たり前。効果的に実行するには、経営幹部や調達担当者、サプライチェーン担当者、法律顧問など関連する利害関係者が随時参加してセキュリティ対策の期待値を聞き取り、その基準を満たすべくステップを踏んで対処すること。

第１ステップではセキュリティリーダーが、協働するサプライチェーンパートナーの範囲を特定すること。これにはネットワーク機器やソフトウェアベンダー・顧客やサプライチェーン・ビジネスパートナー・規制当局が含まれます。

第２ステップでは低リスクと高リスクのサプライチェーンパートナーとの契約を分類しておきます。リスク委員会または取締役会と共同で契約を分類、企業が許容できる範囲のセキュリティリスクを決定します。

たとえば、パートナー企業が業務上の機密情報を暗号化せず保管するリスクは許容できても、顧客データを暗号化せず保管するリスクは許容できない場合に備えて最も重大なリスクをもたらすパートナー企業を事前に特定する必要があります。

第３ステップではリスクシナリオに基づき最低限必要な基準や譲れない事項を策定します。たとえば、「全ての顧客データを転送中や保存中に暗号化する」「自社システムにアクセスするメンバーは、犯罪歴の背景調査を受けなければならない」と言ったたぐい。

こういった基準を社内外で共有、調達時の依頼に盛り込みます。また外部向けWebサイトに公開、サプライチェーンパーティーの行動規範にも盛り込むことが重要です。

またサプライチェーンパーティーのセキュリティリスクに関するハイレベルポリシーを文書化します。これにより調達担当者、IT担当者、利害関係者など、どのようなパートナーが調査を必要としているのか？何を期待するのか？防御能力をどのように評価するかを明確化させます。

リスク評価

パートナー企業のセキュリティ能力評価が今後の課題です。たとえば以下のような質問をして具体性にかける返答であれば要注意と断定せざるを得ません。

もたらされる脅威の大きさに見合った分析を実行する体制が整えられているのか？
機密情報や顧客情報へアクセスしたり、保管したり、処理したりしているか？
自社のネットワークへ仮想的または物理的にアクセスしているか？

機密データや顧客データを保管して、社内システムにアクセスできるパートナー企業は「クリティカル（重要）」なサイバーリスクカテゴリーに属します。

ビジネスデータを保管しており、システムにアクセスできないパートナーは「ミディアム（中程度）」のカテゴリーに属し、セキュリティ評価サービスによるパッシブな周辺スキャンが最低限必要です。

調達部門はよりリスクの高いパートナーを評価するには、その防御能力を調べる前に契約依頼に評価要件を盛り込んでおきます。法務部門は暗号化規格や侵害通知、認証レポート、特定されたコントロールギャップの是正に関する要件など、特定のシナリオに関する契約条項を盛り込むことが推奨されます。

リスクへの対処

事前に定義された一連のアクションだけではうまくいかないことが多いのが現実です。ビジネスで実行できるソリューションをCISO（最高情報セキュリティ責任者）が提供することでリスク発生を軽減できます。

たとえば、サプライチェーンパートナーが機密データを暗号化せず、顧客の機密情報を流出させる可能性があるというリスクを特定した場合、BYOK（Bring Your Own Key）を通じてデータを暗号化したり、サードパーティーとの手続きを打ち切ったりする措置が考えられます。リスクと軽減策を独自にリストアップしていくことが大事です。