セキュリティ入門Web講座

情報漏えいが疑われる事態が発生した時に誰に相談するか決めていますか? ~ 対応組織について ~

セキュリティに関する相談をいただいた時にお聞きする質問に、次のようなものがあります。

「情報漏えいが疑われる事態が発生した時に誰に相談するか決めていますか?」

今回は、セキュリティの対応組織についてお話をします。

セキュリティ対応組織

質問の回答

ご相談いただく会社さんの冒頭の質問に対するご回答は、はっきりしないことが多いです。
「決まっていない」ことがはっきりしている場合もあります。。。

また、「情報漏えいが発生した時に報告する人を決めている」というお答えもあります。
この場合、「情報漏えいが発生したと誰が判断するのか?」と聞くと、「各自が判断する・・・」と攻撃方法が複雑かつ巧妙化している中、現実的には対応できないのではないか・・・と考えるお答えをいただく場合もあります。

ご相談いただく中には、社内のPCなどの技術に詳しい人の名前が上がる場合もあります。

広告枠・・・広告やリンク先の保証はしません

対応してもよいのか?

それでは、「社内のPCなどの技術に詳しい人」には、「対応する権限があるのか?」と聞くと、「?」ということもあります。
社内的に対応する権限がないと、例えば、次のような理由で、対応できないこともあります。

  1. 時間がない
  2. 調査できない

時間がない

技術に詳しい人が、セキュリティの相談されたときに、優先順位の高い仕事などをしていると、対応する時間が確保できない場合もあります。

調査できない

「取引先とのNDA(秘密保持契約)などの関係で情報を見られない」などで、対象のPCを見ることができず、調査ができない場合もあります。

以上2つの理由は、例として挙げさせていただいたので、原因は、他にもあるかもしれません。
いずれにしても、対応ができないことには変わりがありません。
広告枠・・・広告やリンク先の保証はしません

どうするの?

この問題に対応するには、最低でも次のような対応が必要になります。
  • 対応する人を任命する
  • 社内外に周知する

対応する人を任命する

実際に対応する人を決め、権限を与えます。
この権限により、調査時間を確保します。

社内外に周知する

対応する人が分からなければ相談のしようもありませんので、社内に周知します。
また、NDA(秘密保持契約)などの契約を結ぶ場合は、社外に調査権限のある人が居ることなど、対応についての取り決めを含めておいた方が良いです。
実際に問題が発生してから社外と調整するのでは時間がかかり過ぎる場合もあるためです。

判明した場合の相談先は?

対応する権限を持つ人を任命したとして、対応後の相談相手が必要になります。
具体的には、「漏えいが判明した場合、誰に相談するか?」です。

調査をする人が役員や管理職などであれば、社外的な対応を相談することができるかもしれません。
しかし、実際の現場では、「調査する人」は担当者で、「役員など」と適切なタイミングで相談できないこともあるとお聞きします。
適切なタイミングで相談できなければ、被害が拡大することもあり得ます。
このようなことがないように、普段とは異なる相談相手を決めておきましょう。

この相談相手は一人である必要はありません。
トリアージとは?でもお話をしたように、対応時のみのグループでも良いです。

まとめ

ここまでお話してきたように、最低でも、何かが起きる前に次の事に対応しておくと、実際に情報漏えいが疑わしい事態が発生しても、対応できます。
  • 対応する人を任命する
  • 社内外に周知する
  • 相談相手を決定する

もし決まっていないということでしたら、最初に、上の3つの項目だけでも、検討してはいかがでしょうか?

タグ:, ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!