一般的な社外秘の意味や定義とセキュリティの観点での社外秘における権限やアクセス権について
- INDEX
-
一昔前であれば「社外秘」と記載されている書類は物理的には外部に漏れるようなものではありませんでした。
しかし、今はデータ化が進み、社内や組織内のデバイスがオンラインにつながっていることから、単に社外秘と記載するだけではなく、システム的にも社外秘となるよう対策しておかなければ、非常に危険な時代と言えます。
今回は一般的な社外秘の意味や定義、セキュリティの観点での社外秘における権限やアクセス権、そしてシステム的に社外秘の権限やアクセス権を管理しセキュリティを強化する方法についてお話します。
一般的な社外秘の意味や定義とは
はじめに一般的な社外秘の意味や定義とは何か簡単に説明します。
社外秘とは
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の枠組みを作る中、ISOを参考にした場合、企業や組織における活動で生じる情報は「極秘・社外秘・公開」という3つに分類して取り扱います。
公開はそのままの意味であり、内外問わず誰でも、どこからでもアクセスできる情報、極秘は社内や組織内においても、一部の人間しか閲覧およびアクセスができないレベルです。
そして、中間に位置する社外秘は社内や組織内の人間であれば閲覧やアクセスできるレベルであり、極秘と比べれば社外に情報漏えいした場合でも大きな被害にはならないレベルを指します。
ただし、大きな被害にならないレベルとはいえ、社外秘として取り扱う情報である以上、電子データとしてのセキュリティ性を確保する必要があるのも事実です。重要なのは極秘や公開とは区別されていることであり、情報漏えいしても良い情報ではないということを覚えておくべきと言えます。
社外秘にありがちな誤解や勘違い
社外秘にありがちな誤解に、社内であれば個人情報や機密情報であったとしても情報漏えいしても構わないだろう、というものがあります。社外秘であったとしても、作業や業務で必要のない人間が閲覧やアクセスできてしまうと内部不正を引き起こす要因になるため注意する必要があります。
また、関係会社や委託先に場合にありがちなのが「信頼できるから」または「業務で必要だから」というような形で安易にデータを渡してしまうことです。特に個人情報においては本人の許諾なく、勝手に第三者や他の機関や組織に受け渡すようなことがあってはなりません。
社外秘のデータについては、単に社内ならOK、関係会社や委託先で必要ならOKと一括りにせず、どのような性質のデータなのか見極めた上で共有や受け渡しを行うべきということです。
社外秘とセキュリティの関係性
一昔前であれば、社外秘というハンコや手書きなどによる記載を紙の書類の表紙などで区別するような状況が一般的でした。物理的な紙資源による書類で情報がやりとりされていたからこそ、社外に漏れることはそうあり得ないですし、それなりに安全性が保持されていたと言えます。
しかし、現代は電子データかつオンラインの時代です。そのため、極秘・社外秘・公開のどの情報においても、アクセスすることが可能であれば、公開と同じように誰でも閲覧することが可能になってしまいます。
社外秘を社外秘とするためにはネットワークへのログイン、データへのアクセス権、データおよびファイルを閲覧・編集・削除する権限などを適切に割り当て、電子データのセキュリティ性を確保する必要があるのです。
セキュリティの観点での社外秘における権限やアクセス権について
次にセキュリティの観点での社外秘における権限やアクセス権について解説します。
一般に公開されている情報との区別
公式サイトや公式のホームページ、またSNSやメールマガジンなど、誰でも手に入れることができる情報と社外秘は明確に区別すべきと言えます。
また、公開といっても、公式サイトや公式ホームページなど、アクセスすれば誰にでも見れる情報とSNSやメールマガジンに登録した人のみが見れる情報もそれぞれ区別すると良いでしょう。
これらは基本的に情報漏えいにはならない情報であり、その気になれば誰でも入手できる情報、すなわち社外秘とは明確に区別すべき類の情報と言えます。
顧客との間で扱う情報との区別
顧客やユーザーとの間において、何らかの個人情報や機密情報を取り扱うことがあります。双方の間においてのみ利用する情報は公開とは違う区別が必要であり、アクセスするための権限をしっかりと設定すべきと言えます。
単純にAという顧客の情報をBという顧客に渡してしまった場合、これは情報漏えいです。情報の内容によっては致命的な場合もあることから、社外秘よりも上、極秘と同じような扱いと思った方が良いでしょう。特定の部門や部署、もしくは担当のみが閲覧、操作できる情報として取り扱うべきです。
ただし、他人が調べればわかるような公開されている情報の場合、必ずしも致命的とは言えません。むしろ、社外秘にあたる部分の情報の質でもあるため、取扱いが難しい電子データであるとも言えます。
極秘および社内や組織内でのみ扱う情報との区別
極秘および社内や組織内、または特定の部門や部署でのみ扱う情報においても、それぞれ誰がアクセスできて、誰がファイル操作をできるのか区別しておきましょう。ほとんどは社外秘というより、極秘に近い扱いになる可能性が高いです。実際に電子データで考えた場合、公開はわかりやすいですが、社外秘は扱いが難しいことがわかります。
そのため、現実問題として現代の電子データにおける社外秘とは、公開か否かで分類し、その上で情報の質に応じてアクセス権やファイルの操作権限を割り当てることで、セキュリティ性を確保し、機密性や安全性を高めるべきであると言えます。
システム的に社外秘の権限やアクセス権を管理しセキュリティを強化する方法
次にシステム的に社外秘の権限やアクセス権を管理しセキュリティを強化する方法をご紹介します。
社外秘の定義を明確にして、システムに反映させる
社外秘はシステムやセキュリティで区分し、システムで権限・アクセス権・ファイル操作権を明確に分類しましょう。システム的にも「情報漏えいすべきではないが、情報漏えいしても問題がない」という曖昧な状態より、情報漏えいすべきではないと明確にした方がセキュリティ性が高くなります。
前述したように公開か公開しないのか、公開しない情報でどのような重要性・質を備えているのかに応じて、細かく権限やアクセス権を設定することで、誰でも、どこからでも、いつでもアクセスできてしまうようなずさんな状況を防止できます。
部門や部署、役職や立ち位置、担当ごとの権限やアクセス権を設定する
業務を遂行するために必要な情報があるとします。その場合、適切に情報にアクセスできるようにアクセス権や権限を割り当てる必要があります。これらは情報セキュリティの基本である機密性・完全性・可用性にも関わる部分であり、利便性を損ねず、安全性も確保するという大切な要素と言えます。
必要に応じて、必要とする人のみがアクセスできるようにする。同様に、許可されていない人はアクセスできないようにする。もしくは、アクセスできてもファイル操作ができない、閲覧はできても編集や削除ができないなど、細かな設定が情報資産を守るということを覚えておきましょう。
ファイルへのアクセスやPC操作ログの監視・管理を徹底する
社外秘は意識的に情報漏えいを防ぐというよりも、システム的に防ぐことが重要です。アクセス権やファイルを操作する権限の割り当てともに、ファイルへのアクセスログ、編集や削除した履歴・バックアップ、PC操作ログの取得・監視・管理を徹底することで、さらにセキュリティ性を高めることができます。
電子データは基本的にデータ改ざんができる仕組みになっています。だからこそ、データ改ざんさせないため、編集や削除、コピーをさせないための工夫が必要だと言えます。言い換えれば、何かをされても、検知し、把握することができれば問題に対処しやすいということでもあります。これらを実現するためにも監視という部分に注力しつつ、IT資産管理や情報資産管理を統合的に行えるようにしておくことをおすすめします。
まとめ:物理的な書類の管理ではないからこそ、権限やアクセス権を明確に区別しよう!
今回は一般的な社外秘の意味や定義、セキュリティの観点での社外秘における権限やアクセス権、そしてシステム的に社外秘の権限やアクセス権を管理しセキュリティを強化する方法についてお話しました。
データ化された情報が社外秘である場合、社内や組織内だけでなく、外部からのサイバー攻撃、悪意のある第三者もその気になればアクセスできてしまう可能性があります。ただし、明確に権限やアクセス権を区別し、ファイル操作自体を監視・把握・検知することができれば、セキュリティインシデントとなる可能性を限りなく低くすることが可能です。
当社が提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、社外秘のファイルも含めて、内部不正、情報漏えい、データ改ざんなどのセキュリティ対策全般が強化できます。統合的なセキュリティ体制を基盤ごと強化することにつながりますので、ぜひともこの機会にご相談、お問い合わせください。
「AssetView Cloud +」製品資料
AssetView Cloud +は、情報システム担当者が管理・対策業務を最小限のリソースで効率的に実施できるよう、ヒトを起点とした新しい管理が実現できる運用管理ツールです。
IT資産管理、ログ管理などのIT統合管理ソフトウェア『AssetView』は、お客様の状況に合わせたIT統合管理を実現。
