2022年4月6日、 IPAは「組織における内部不正防止ガイドライン」第5版を発行しました。
そこで本記事では、改定の背景となったテレワークの普及や雇用の流動化の加速などにおける、アクセス・ログ管理の重要性やポイントをご紹介いたします。

IPA組織における内部不正防止ガイドライン 第5版が発行されました

2022年4月6日 IPA（情報処理推進機構）が発行するガイドライン「組織における内部不正防止ガイドライン」の第5版が発行されました。
本ガイドラインは、内部不正による情報漏洩などの事件の多発を背景に、2013年3月に初版が公開され、その後企業を取り巻くシステム環境の変化に合わせて適宜更新、最新版として第５版がリリースされた経緯があります。

第5版 変更の背景とポイント

今回の改定については以下のような背景を踏まえていることが、公開されている補足資料によって解説されています。

1. 機密情報の漏えいの事業経営に及ぼす影響の増大
2. テレワークなど働き方改革の推進に伴うリスクの増大
3. 雇用の流動化に伴う退職者増加がもたらすリスクの増大
4. セキュリティ技術の進展に伴う個人情報やプライバシーへの配慮
5. 関連する法改正とそれに伴う対策の補強・強化

また、システム環境の具体的な変化については、上記以外にもオンラインストレージやクラウドサービスの利用の増大もリスク要因及び対策手法の変更に影響を及ぼすものとしてあげられています。

変更点から考えるべき認証・アクセス・ログ管理のポイント

このような背景から、本サイトのテーマである認証・アクセス管理、あるいはログ管理といった分野において検討すべき点を洗い出してみました。

テレワーク従業員のモニタリングの仕組み

従業員の不正防止対策として、クライアントPCのログ取得を行っているケースは多くあります。
テレワーク環境であっても、コンピューター内での操作内容に関するログ取得は、そのままの仕組みが通用するため、特に新たな対策は不要です。

しかし、オフィスでの業務とは異なる以下のような懸念があり、対策が必要です。

1. 家族・同居人などの覗き込み、なりすまし
2. カフェ・公共施設など、テレワークにふさわしくない場所での業務遂行

クラウド利用のログモニタリング

クラウドサービス利用の浸透に伴い、クラウドサービスの不適切な使用、私的利用による内部不正が懸念されます。しかし、従来のPCのログ取得の仕組みでは、クラウドサービスの利用状況を細かに取得することが難しいケースが想定されます。
PCのログ取得とは別に、クラウドサービスを不適切な形で利用されていないかをモニタリングする仕組みが必要です。

テレワーク時のアクセス権（業務範囲）

テレワーク環境下において、社内情報リソースのどの範囲までをアクセス許可するか、テレワーク環境のリスクとの見合いで決定しておく必要があります。

例えば、個人情報を大量に扱う業務やシステムの管理者権限を使用する業務については、業務の性質上、リスクが大きく、テレワークの対象外とするといった方針にすることも必要です。

ただ、テレワークで遂行可能な業務を絞り込みすぎることで、働き方改革の推進を阻害してしまったり、部門によって対応に差が生じてしまうなどの弊害も起きる可能性があります。
そのような場合には、高リスク業務であっても追加の対策を講じることで、テレワーク化に対応する方針にするのも選択肢のひとつと考えられます。

退職予定者 × クラウド × テレワークの難しさ

クラウド利用、テレワーク、退職予定者という3つの要素を踏まえた場合、もっともリスク要因が高まるのは、これらの要素がすべて当てはまる環境への対応です。

この要素がすべて当てはまらないように、退職が決まった従業員に対しては、テレワークを認めない、クラウド利用を停止させるなどの措置を講じることも対策の在り方の一つではあります。

ただ、そうすることで業務に大きな制約が生じてしまうことも考えれるため、対象となる従業員に対するモニタリングを強化するなどして、リスクを低減する方法も検討する必要があると考えられます。