組織における内部不正防止ガイドライン

組織・企業における内部不正の発生

昨今、依然として内部不正者による情報漏えい事件は後を絶ちません。多くの方の記憶にあるのは2014年に発覚した某教育関連大手企業における極めて大規模な内部不正者による情報漏えい事件と思います。この事件では、漏えいした件数の大きさも去ることながら、漏えいを防止するための施策に漏れがあり、誰でも保持しているデバイスによりデータが容易にコピーされ、持ち出されたことが大きな特徴といえます。事件をきっかけに、事件が発生した企業は大量の顧客離れが発生し、結果として経営に大きな影響が発生しました。そして、2015年に個人情報保護法が改正される契機ともなりました。このような内部不正者による情報漏えい事件が発生した場合、企業は極めて大きな影響を受けることとなります。

組織における内部不正防止ガイドライン

2013年、IPAから「組織における内部不正防止ガイドライン」（以下、内部不正防止セキュリティガイドライン）初版が公表されました。その後幾度かの改訂が行われ、2022年4月に第5版が公表されています。このガイドラインでは、中小企業を含めこれまでに内部不正対策を十分に整えてこなかった企業に対して、内部不正の予防だけではなく、発生後の迅速な発見と拡大防止を見据えた対策に触れられています。また、内部不正対策は企業の特定の部門だけではなく、部門間調整を含めた対策が必要になるため、対策実施者だけではなく経営者も含めた層を読者として想定されています。本ガイドラインでは、内部不正防止に掛かる具体的な施策について、大きく10個の対策を打ち上げています。そのうち、ログ管理については「4-5. 原因究明と証拠確保」として、具体的なログの管理内容や方針について記述されています。

（１８） 情報システムにおけるログ・証跡の記録と保存

「（１８） 情報システムにおけるログ・証跡の記録と保存」では、以下の通り記述されています。

内部不正の早期発見及び（３０）の事後対策の影響範囲の観点から、重要情報へのアクセス履歴及び利用者の操作履歴等のログ・証跡を記録し、定めた期間に安全に保存することが望ましい。

引用：組織における内部不正防止ガイドライン本節では、情報システム全般のログについての保存が重要視されています。とは言え、あらゆる情報へのアクセス履歴を保存／監査することは現実的ではないため、「重要情報」へのアクセスを一定の期間保存するよう推奨されています。ここでの重要情報としては、個人情報保護法で定められた「個人情報」「個人特定情報」や、番号法で定められた「個人番号」、企業の機密性の高い営業情報が格納されたファイルやデータベースが想定されます。これらの情報に対するアクセスログを一定期間保管して、内部不正発生時の証跡とするだけではなく、アクセスログを保管している事実を従業員に告知することで、内部不正に対する抑止効果を狙った対策も重要な施策と位置づけられています。

（１９） システム管理者のログ・証跡の確認

「（１９） システム管理者のログ・証跡の確認」では、以下の通り記述されています。

システム管理者のアクセス履歴や操作履歴等のログ・証跡を記録して保存し、(1８)で述べたログ・証跡とともに、システム管理者のログ・証跡の内容を定期的にシステム管理者以外が確認しなければならない。

引用：組織における内部不正防止ガイドライン本節では、情報システムに対して強力な権限を保持する「システム管理者」の操作ログを記録することが重要視されています。システム管理者は情報システム、特に重要情報に対するアクセス権限を保持すること、また、ログの改ざんや消去と言った内部不正対策を根幹から揺るがしかねない操作を行うことが可能な権限を有している場合があります。そのため、システム管理者の操作ログを日常的に管理し、なおかつ「システム管理者以外の」人間が確認することが重要とされています。

内部不正対策としてのログ管理

本ガイドラインでは、上記以外にも随所で「ログ」が出現します。内部情報対策として、ログを管理するだけではなく、第三者委託を行う場合のログの取扱にも記述があります。これらの要件に対応するためのシステムとして、統合ログ管理システムLogstorageが挙げられます。

Logstorageは、様々なシステムに異なるフォーマットで散在するログを管理・分析する純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視など多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。官公庁や金融業、通信業を中心に5100社以上が導入しており、統合ログ管理ツール分野シェア17年連続No.1となっています。