情報セキュリティにおける技術的対策

内容

• 攻撃の標的としての企業情報
• 情報セキュリティ強化のための3つの新対策
• 情報の削除
• データのマスキング
• 情報漏えいの防止
• 情報セキュリティにおける技術的対策-結論
• このアップデートは認証にとってどのような意味があるのでしょうか？
• DQS：認証された情報セキュリティのための有能なパートナー

企業情報は格好の攻撃対象

ドイツの業界団体Bitkomによる調査「Wirtschaftsschutz 2022」（企業保護2022年）は、ハッカーが今日のビジネス界における情報とデータの経済的価値を強く認識していることを裏付けている。特に人気のある標的は、68％が通信データ、45％が顧客データである。

データ盗難に直接起因する恐喝、特許侵害、売上損失による損害は、年間数十億ユーロにのぼる。

企業や組織は、重要なデータを処理する際の保護をさらに強化する必要がある。追加のガイドラインは、全体的なセキュリティ・コンセプトをさらに改善し、攻撃対象領域を縮小するのに役立つ。

情報セキュリティ強化のための3つの新たな技術的対策

新しいISO/IEC 27001:2022の附属書Aの93の対策は、4つのトピックに再編成されました：

• 組織的対策
• 個人的対策
• 物理的対策
• 技術的対策

以下に詳しく説明する情報保護に関する 3つの新しい対策は、「技術的対策」のトピックに含まれる：

• 8.10 情報の削除
• 8.11 データマスキング
• 8.12 データ漏えいの防止

情報の削除

ISO 27001の管理8.10は、情報システム、デバイス、またはその他の記憶媒体に残っている、不要になった情報がもたらすリスクに対処しています。このような既に不要となったデータを削除することで、その開示が防止され、データ削除に関する法律、法令、規制、契約上の要求事項の遵守が保証される。

その際、企業や組織は以下の点を考慮する必要があります：

• 電子的上書きや暗号化消去など、ビジネスおよび法的環境に照らして適切な消去方法を選択すること。
• 結果の文書化
• サービス・プロバイダーを利用して情報を消去する場合の証拠の提示

第三者が御社に代わってデータ保管を引き継ぐ場合、消去に関する要件を契約書に記載し、サービス中およびサービス終了後もこれを実施する必要があります。

関連するデータ保持ポリシーおよび適用される法規制の遵守を確保しつつ、機密情報の確実な削除を実現するために、新基準は以下の手順、サービス、技術を規定している：

• 情報の安全な破棄を可能にする専用システムの構築（例えば、保存方針に従って、または影響を受ける個人の要求に応じて）。
• すべての記憶媒体上の旧バージョン、コピー、または一時ファイルの削除
• 承認された安全な消去ソフトウェアのみを使用して、情報を永久的かつ完全に消去する。
• 承認され、認定された安全な廃棄サービス・プロバイダーを介した削除
• ハード・ドライブの消磁など、廃棄する特定のストレージ媒体に適した廃棄方法を使用する。

クラウド・サービスを利用する場合、提供される消去手続きの許容性を確認することが重要である。許可された場合、組織は消去手続きを利用するか、クラウドプロバイダーに情報の消去を要求すべきである。可能であれば、対象者別ガイドラインの一部として、これらの削除プロセスを自動化すべきである。

機密情報の不用意な開示を防止するため、ベンダーに返却されるすべてのデバイスストレージは、返却前に削除されるべきである。スマートフォンなど一部のデバイスでは、データの削除は、破壊または内部機能（例えば、工場出荷時設定の復元）によってのみ可能である。情報の分類に応じて、適切な手順を選択することが重要である。

削除プロセスは、疑わしい場合にデータの削除を証明できるよう、機密性に応じて文書化する必要がある。

データのマスキング

個人データ処理のような様々な機微情報については、企業および業界固有または規制上の要件により、情報のマスキング、仮名化または匿名化が規定されている。これらの対策のガイドラインは管理8.11に記載されている。

仮名化または匿名化の技術は、個人データを隠蔽し、真のデータを不明瞭にし、情報の相互リンクを不明瞭にすることを可能にする。これを効果的に実施するためには、機密情報の関連するすべての要素に適切に対処することが重要である。

匿名化によってデータが不可逆的に変更される一方で、仮名化の場合、追加的な相互情報によって真の身元に関する結論を導き出すことは十分に可能である。したがって、仮名化のプロセスでは、追加的な交差情報を分離して保護する必要がある。

データをマスキングするその他の技術には、以下のものがある：

• 暗号化
• ゼロまたは文字の削除
• 異なる数字や日付
• 置換 - ある値を別の値に置き換えて機密データを隠す。
• 値をハッシュで置き換える

これらの情報セキュリティのための技術的対策を実施する際には、多くの側面を考慮することが重要である：

• ユーザーはすべてのデータにアクセスできるのではなく、本当に必要なデータだけを閲覧できるようにすべきである。
• 場合によっては、データセットのすべてのデータをユーザーに見せるべきではありません。この場合、データの難読化手順を設計し、実装する必要がある。例：医療記録中の患者データは、全スタッフに見せるべきでなく、治療に関連する特定の役割を持つ従業員だけに見せる。
• 例えば、データカテゴリー（妊娠、血液検査など）を通じて実際の日付について結論が導き出されるような場合、データの難読化はデータにアクセスする者にとって明白であってはならない（難読化の難読化）場合もある。
• 法的または規制上の要件、例えば、処理中または保存中にペイメントカードデータをマスキングする要件。

一般的に、データマスキング、仮名化、匿名化にはいくつかの一般的なポイントが必要です：

• データマスキング、仮名化、匿名化の強度は、処理データの用途に大きく依存する。
• 処理されたデータへのアクセスは、適切な保護メカニズムによって確保されなけれ ばならない。
• 加工データの使用に関する合意や制限を検討すること。
• 処理されたデータを他の情報と照合してデータ対象者を特定することを禁止すること。
• 処理されたデータの提供および受領を安全に追跡および管理すること。

データ漏えいの防止

コントロール8.12は、データ漏洩を防止するためのものであり、機微情報を処理、保存、または送信するすべてのシステム、ネットワーク、およびその他の機器に適用される具体的な対策を策定している。機密データの漏洩を最小限に抑えるために、組織は以下を考慮する必要がある：

• 例えば、個人データ、価格設定モデル、製品設計などの情報を特定し、分類する。
• 電子メール、ファイル転送、モバイルデバイス、モバイルストレージデバイスなど、データの流出経路の監視
• 機密情報を含む電子メールの隔離など、データ漏洩を防止するための対策

多種多様なデータが存在する現代の複雑なIT構造におけるデータ漏えいを防止するために、組織には以下のような適切なツールも必要である。

• ユーザーのシステム上の非構造化データなど、不正流出の危険性がある機密情報を特定し、監視する。
• 信頼できないサードパーティのクラウドサービスにデータがアップロードされたり、電子メールで送信されたりした場合など、機密データの開示を検出する。
• データベースのエントリがスプレッドシートにコピーされるのを防ぐなど、重要な情報を公開するユーザーアクションやネットワーク転送をブロックする。

組織は、組織外のサービス、デバイス、ストレージメディアへのデータのコピー、ペースト、アップロードを行うユーザーの権限を制限する必要性について、批判的に検討する必要がある。必要であれば、データ漏洩を防止するための適切なツールを導入したり、既存のテクノロジーを適切に設定したりすることも必要かもしれない。

例えば、ユーザーにはデータをリモートで閲覧・編集する許可は与えても、組織外の管理下にあるデータをコピー＆ペーストする許可は与えない。それでもデータエクスポートが必要な場合は、データ所有者がケースバイケースで承認し、必要であればユーザーに不要な行為に対する責任を問うことができる。

データ漏えいの防止は、スパイ目的に悪用される可能性のある機密情報や企業秘密の保護、あるいは社会にとって極めて重要な情報にも明示的に適用されます。この場合、攻撃者を混乱させるような対策、例えば、偽の情報で代用する、リバース・ソーシャル・エンジニアリングを行う、ハニーポットを使って攻撃者をおびき寄せるなどの対策も必要である。

データ漏えいは、例えば、アクセス制御や安全な文書管理のためのトピックに特化したポリシ ーによって、標準的なセキュリティ管理で対応することができる（対策／管理 5.12および5.15も参照）。

監視ツールを使用する際の重要事項

自社の情報を保護するために、多くのツールは必然的に従業員のコミュニケーションやオンライン活動、第三者のメッセージも監視する。この監視は、適切な監視ツールを使用する前に考慮しなければならない様々な法的問題を提起する。監視のレベルと、プライバシー、データ保護、雇用、データ傍受、電気通信に関するさまざまな法律とのバランスをとる必要がある。

情報セキュリティにおける技術的対策 - 結論

機密性、完全性、可用性という情報セキュリティ保護目標の全体的な文脈において、ここで説明したデータ処理手順は、機密データの保護強化において重要な役割を果たす。

データと情報の流れの継続的な監視、機密情報のマスキング、厳格なデータ削除ポリシーにより、企業はデータ漏洩やデータ損失に対する保護を持続的に向上させることができ、重要な情報の意図しない公開に対抗することができる。さらに、この手順は全社的なサイバーセキュリティに決定的な貢献を果たし、ハッカーや産業スパイの攻撃対象領域を最小化する。

企業や組織にとっては、今後の認証審査において、規格に準拠した要求事項の実施を証明するために、手順や必要なツールを適切に確立し、ビジネスプロセスに組み込むことが重要な課題となっている。

経験豊富な監査員の専門的見解と35年以上にわたる認証の専門知識により、ISO 27001に準拠した情報セキュリティおよび認証のトピックに関するお問い合わせ先として、弊社をお勧めします。

更新は認証にとってどのような意味がありますか？

ISO/IEC 27001:2022は、2022年10月25日に発行されました。この結果、ユーザーには以下の期限と移行期間が発生します：

旧」ISO 27001:2013に基づく初回審査および再認証審査の最終期限。

• 2024年4月30日以降、DQSは新規格ISO/IEC 27001:2022に基づく初回審査および再認証審査のみを実施する。

旧」ISO/IEC 27001:2013に基づく既存のすべての認証書を新ISO/IEC 27001:2022に移行する。

• 2022年10月31日から3年間の移行期間がある。
• ISO/IEC 27001:2013またはEN ISO/IEC 27001:2017に従って発行された認証書は、遅くとも2025年10月31日まで有効であるか、またはこの日に撤回されなければならない。

DQS：情報セキュリティに関する認証取得のための有能なパートナー

移行期間のおかげで、企業は自社の情報セキュリティ管理を新しい要件に適合させ、認証を取得するのに十分な時間があります。しかし、変更プロセス全体にかかる期間と労力を軽視してはなりません。安全策を講じたいのであれば、早め早めに対処し、必要に応じて経験豊富な専門家に依頼すべきです。

35年以上の専門知識を持つ審査・認証のエキスパートとして、デルタ審査の際に喜んでサポートさせていただきます。経験豊富な審査員から、最も重要な変更点と貴社組織との関連性をご確認ください。ご連絡をお待ちしております。

信頼と専門知識

弊社のテキストは、社内のマネジメントシステム専門家と長年の監査員によって執筆されています。著者へのご質問がございましたら、お気軽にお問い合わせ ください。