スタートページ主張・講演経営者・利用部門のためのIT入門第5章 情報セキュリティ対策

情報システムの構築・運用と情報セキュリティ対策


情報システムのトラブルはよく見聞することです。その原因を調べると、情報システムの構築段階で、情報セキュリティ対策を考慮しない、あるいは軽視したことが遠因になっていることが多いのです。また、運用の外部委託が普及してきましたが、委託先の情報セキュリティ対策レベルを考慮する必要があります。これらについて、経営者に留意してほしい事項を列挙します。

入力チェック機能

情報システムの企画・設計の段階からセキュリティ対策を考慮することが必要です。特に人間は不注意だということを前提にして、情報システムがそれを防ぐ仕組みを組み込んでおく必要があります。

誤ったデータが入力されると、それを発見するのは難しいものです。多くの情報システムが連動しており、入力した瞬間に多くのファイルを更新する、しかも他社へ送信されるようになっていると、修正することすら困難な場合があります。それを防ぐために、入力データをチェックして誤りデータを受け付けないようにするチェック機能を組み込んでおく必要があります。
 ところが、「○○の帳票がほしい」とか「応答時間を○秒以内に」などの要件と異なり、チェックの内容は気付かないし、チェックレベルも千差万別です。入力プログラムは、チェックの内容により数十倍になることもあります。それで、開発費用や開発期間を厳しくすると、開発者はチェック機能を低レベルにしてしまいます。

得意先への請求書を誤配すると大問題になります。手作業ではミスが入る機会が多いので、できるだけオンライン化するべきです。しかし、そのためには得意先とデータの仕様やコードの統一などの折衝が必要になります。互いに情報システムの手直しなどの費用が発生しますので、経営者間での折衝が必要になることもあります。

誤入力や不正行為を防ぐ機能

データ入力の過失や不正を防ぐために、情報システムだけでなく人間によるチェックも必要です。最も単純なのは、入力したデータを記録しておき、入力者上司に提出して確認を求める手順を情報システムに組み込む方法です。事後手続きになりますが、発見が容易になり不正行為の牽制になります。
 事前チェックを行うのであれば、担当者が入力しても、それを直接処理するのではなく、そのデータを上司が承認することにより、正規のデータとして処理する方法です。手間がかかり、迅速性が失われるのが欠点です。しかし、データ入力以前に稟議や申請などが行われる手続きであれば、それらの手続き自体を情報システムにし、承認されたら、そのデータをそのまま用いるようにすれば、業務全体の合理化になります。このような利用形態をワークフロー管理システムといいます。
 このような対策は、情報システム構築の費用がかかるし、業務の流れを変更する必要があります。そのため、情報システムを設計する段階で決定する必要があります。

テスト期間を十分に

プログラマもミスをします。それをチェックする工程をテストといいます。
 経営環境が激変していることから、情報システムの構築や改訂の短期間化が要請されます。また、情報システムに求める機能が複雑になっています。なかなか要件が決まらず後工程に着手できない、後工程に入ってから要件変更により手戻りが発生するなどにより、スケジュールの遅れが発生します。そのしわ寄せが、テスト期間の短縮になります。
 そのため、チェック不十分なまま本番に入り、そこでミスが発見されるという事態になります。大銀行の合併システムでこれが起こり、ATMが使えない、送金ができないなどの事態になり、社会的問題になったことがあります。

品質に不安があるままで本番に突入するか、本番移行を遅らせるかは経営者の決断になります。しかし、土壇場になる以前に、遅れの状況を把握して対策を考えることが重要です。

情報セキュリティ対策と情報活用のバランス

情報セキュリティ対策の基本の一つに、権限のない人にデータをアクセスさせないことがあります。その権限は、一般的には所属部門と職制により決められます。
 J-SOX法による内部統制では、財務報告に関するデータに関して、不正行為や過失による改ざんが行えない仕組みにすることが求められます。これには、無権限者のアクセスを禁止することが基本になっています。

反面、業務の改善・改革のためには、所属部門以外のデータも自由に使えるようにする必要があります。近頃の組織は部門や階層の壁が低くなり、公式・非公式に所属部門以外の業務をしています。大阪支店の平社員が全社的な流通システムの改革提案をすることもあります。このような業務では、問題発見・仮説検証が多く試行錯誤の連続ですから、そのたびにアクセス許可申請をするのでは仕事になりません。

セキュリティと情報活用のバランスを考慮する必要があります。それには、不正行為を防止するために、基幹業務系システムのデータではなく、個人情報などを削除あるいは加工した情報検索系システム用のデータだけを使わせるようにするとか、アクセス記録の分析方法の工夫をするなど、両立できる方法を考える必要があります。いづれにせよ、ハードウェアの増設が必要になります。

サーバ管理のアウトソーシング

外部からの攻撃を防ぐために、ウイルス対策ソフトの導入やファイアウォールの設置をしますが、これらにもセキュリティホールがあるので、常に修正する必要があります。対策のためのパッチあてソフトはベンダから提供されますが、それを正しく解釈して保守をするには、高度なセキュリティ技術者が必要です。
 しかも、不正アクセス者も研究しており、伝染速度も速いので、脆弱性が発見された日に攻撃される(ゼロデイアッタク)こともあります。ベンダが日本語に翻訳するのを待ってはいられません。英語の技術文書を読める能力も求められます。
 セキュリティホールをかいくぐって潜入してきた不正アクセスを監視して対処する必要があります。最近は一般消費者や海外事業所のために、365日24時間インターネットに接続していますので、複数の監視要員が必要になります。

高度技術者を交替勤務させるだけの余裕がある企業は稀です。それで、インターネットに接続しているサーバの管理をアウトソーシングする、あるいは、サーバを専門会社に設置したり(ハウジング)、専門会社のサーバを利用する(ホスティング)ことが多くなってきました。
 社内運用であるか否かに関係なく、攻撃を受けたときに、通常サービスを中断したり、社外的な対応が必要になることがあります。そのために、経営者を含む連絡網を決めておくのですが、それが間に合わない場合もあります。担当者が適切な対処をとれるようにするため、マニュアルを整備するとか権限を一時的に与えることなどが必要になります。

SaaS、クラウドコンピューティング

最近は、ハードウェアだけでなく情報システム自体をベンダが提供するSaaSやクラウドコンピューティングが注目されています。データすらベンダ側におくことが多くなっています。

自社とベンダのどちらが情報セキュリティ対策能力が高いかが問題になります。管理をベンダに任せたとしても、トラブルが第三者に影響するときは、自社の責任になります。個人情報保護法では、委託先への管理や指導の責任が明記されています。
 さらに、そのベンダが海外企業だったり、サーバの設置場所が海外の場合は、その国の法律が優先します。ベンダに損害賠償を求めるときはその国の裁判所で争うことになります。さらに、国によっては、防犯や防衛などの理由により、国がデータの閲覧権をもっている場合もあります。その場合には、自社情報が外国政府に伝わる可能性もあります。

すなわち、社外委託では、単に費用や能力だけの問題ではなく、情報ガバナンスの問題として検討する必要があるのです。このような高度の判断は経営者でないとできません。