今回の金融庁から公表された監督方針は、最近の証券会社や保険会社などの顧客情報が流出した事件や問題が相次いだことを引き金に、金融関係機関に対して社員の不正防止の教育や顧客情報の厳格な管理を徹底させるように監督を強めることにしたもので、当然のことと思います。

ただし、公開されているこの監督方針では細部にわたる具体策まで言及していないこともあり、実際にどこまで踏み込んだ監督が行われるのか、掴むことができません。

一方、発生した事件や事故に対する再発防止策というと、一般的には「二度と発生させない対策」ではないと満足できない「空気」に支配されがちですが、基本に立ち返り「事故前提での対応力を強化する」観点での対策を行なうことが重要だと思います。

 

事故前提での対応力を強化する観点での対策の骨子は以下の通りです。

1. 予防と抑止策
すべての弱点を克服するための管理策の積み上げは、費用対効果を含め現実的ではありません。場合によっては、きつすぎる策のために運用ができずに、かえって悪化させてしまうことも多々あります。運用できない策を「アリバイ対策」として実施するだけでは、本末転倒であると言わざるを得ません。

効果的で現実的な対策は、運用できるレベルの予防や抑止策と、以下の被害防御やその緩和策、さらに事故への対応策を上手に組み合わせて、システマティックにかつ、組織としてしっかり対応できるようにすることが重要であると考えます。

2. 被害防御と緩和
抑止できなかった脅威、また予防できなかった弱点が存在していても、その発生を早期に検出し防御する、あるいは実害の発生を抑える策の実施。

3. 事故対応
不幸にも実害が発生した場合でも、本質的な事件に発展させない、特に組織としても危機管理策の実施。

 

特に、今回のような方針や指導を受けてセキュリティ対策を強化するようなときに、気をつけて欲しいことがあります。

例えば、カード情報を取り扱っている組織では、カード情報に触れることのできるPCや人の見直しと制限を実施すると思います。その際に、削除した情報は、適切な方法で削除されていないと、ハードディスク上に残骸が残ります。この場合、うわべでは、きちんとした対策を実施したように見えるのですが、チェックで引っかからなければ、爆弾を抱えてしまうことになります。

実際に、我々が緊急対応サービス「サイバー119」で調査にあたった事案の多くは、カード情報の残骸が多数のPCやサーバから発見されています。これは運用中に何か対策を行なっていたとしても、「本当に対策が効いているのか」を確認しておかないと後に悔やむようなことになりえるということを示しています。

管理を徹底する場合には、現実に「徹底した状態」になっていることを証明できて、はじめて「きちんと適切に管理している」と言えるのではないかと考えます。今回、金融庁が監督方針として公表しているということからも、金融機関の皆さまは、当該情報が不必要な場所に残っていないかを、ぜひ確認しておきましょう。また、ファイルを削除するときには、“完全な削除”（米国防総省 規格DoD 5220.22-Mなど）を行うよう指示される可能性がありますので、「現場で本当にそれが守られていますか？」という点を証明できることが望ましいと考えます。

 

ラックが8月10日に発表した「カード番号保有チェックサービス」では、カード番号に特化したチェック機能を持っていますが、見つけたい情報にあわせて機能をカスタマイズしたり、他のツールを組み合わせたりすることで、カード番号以外の、例えば「営業情報」などの機密情報の保有チェックもできる可能性があります。

このサービスの特長は、USBメモリや外付けハードディスクを含むPCやサーバの記憶装置の中に、消し去ったファイル等の残骸を含め調べることができ、前述の“完全な削除”などが適切に行われているかどうかを確認できます。

2009年8月20日
LAC 取締役常務執行役員
西本逸郎

• カード番号保有チェックサービス