第4号コラム「GRCとフォレンジック」
第4号コラム:向井 徹 理事(シーア・インサイト・セキュリティ株式会社 代表取締役社長)
題:「GRCとフォレンジック」
上場企業の内部統制システムへの対応が加速してきました。
企業経営の視点からIT統制を考える際に「GRC」というキーワードが注目されるようになっています。G:ガバナンス、R:リスクマネジメント、C:コンプライアンスの略語ですが、業界的にはなかなか便利な言葉だと感じています。
私は2000年に現在の会社を設立して以来、GRCに関連するシステム開発とソリューションサービスの提供に携わっていますが、当時はまだまだ「水と安全はタダ」という雰囲気が根強く残っていました。
企業や団体の上層部に対して情報セキュリティの話題を持ちかけようものなら、あからさまに嫌な顔をされたものです。
IS部門でも情報セキュリティといえば、ウイルスと不正アクセス対策がメインで内部セキュリティの領域には担当者も予算もほとんど割り当てられない市場環境でしたので、フォレンジック的な視点の対策は全く手つかずという状況でした。
ある時、関東の某大学の情報システムセンターがリニューアルする際に、過去の不正アクセス事故の反省から、サーバOSのSyslogやアプリケーションが出力するさまざまなログをリアルタイムでモニタリングして、ログファイルの削除や改竄から保護し、セキュアに収集した上で、ログ解析や情報セキュリティ監査に役立てる仕組みを提案したところ、『着目ポイントも技術的にも素晴らしいと思うが、システムの脆弱性やセキュリティ上の管理不足を逆に証拠として残すことになるので、現状を鑑みるとかなりマズイ。当面は絶対にダメ!』という非常に理不尽な理屈で却下されたこともありました。
管理現場の人材不足や予算事情は何処も劣悪ですから、その言い分が全く分からなくもありませんが、ローカルISPや学内の情報セキュリティ対策を推進すべき立場にある教職員の本末転倒な自己保身的姿勢にかなり失望した覚えがあります。
そのような時期がしばらく続きましたが2004年あたりからは徐々に市場環境が変化してきました。これは、いくつかの有名企業で大規模な個人情報漏洩事故が頻発したことや、GRCに関係する法律や制度が整備されてきたことが主な要因だと思いますが、本会に参加されている先生や諸先輩方のそれぞれの専門フィールドでのご尽力、各種団体活動を通じた啓蒙活動の成果、影響が非常に大きいのではないかと考えています。
現在では『コンプライアンス経営』の概念も一般にかなり普及し始め、情報セキュリティ嫌いだった大手企業のトップから、『内部統制のためにIT統制プロジェクを作るので相談にのってもらいたい』と直々に連絡をくださることもあります。
従来と比較すると、経営層の意識の変化には隔世の感があり、業界に携わるものとしてとても嬉しく思います。
最近の話題としては、当社の顧客企業でフォレンジック対応が必要となる重要なインシデントが連続で発生してしまいました。
一つは取引先の従業者によるセキュリティ違反に起因した、大規模なシステム障害で、約3週間にわたって企業活動に大きなダメージがありました。
もう一つはシステム管理者の一人が引き起こした逸脱行為に関する事案でしたが、いずれのケースも証拠保全~データ解析、不正調査の必要があり、業務提携先のUBIC社に協力を依頼しました。
初動が休日だった上に、深夜にわたる作業が数日間必要になりましたが万全の組織体制で対応いただきました。担当者の技術的スキルは無論、問題解決にあたる情熱も素晴らしく、ネットワーク・フォレンジックの部分を担当する当社の責任者と連携して迅速に対応を完了することができました。
経営陣と内部監査室に対して合理的かつ客観的な調査報告書の提出と再発防止策を起案することが出来、とても高い評価をいただくことができました。
もしも、フォレンジックの知見が全然無く、実働部隊もアサインできなかったらどうだったろう? と考えるとかなりゾッ~とします。
このような経験からも、『デジタル・フォレンジックはGRCの決定打!』になると確信しています。IDFも第5期を迎え、ますますパワーアップしてまいりました。
メンバーの皆様とともに、より幅広い普及に向け、精力的に活動していきたいと思います。
【著作権は、向井氏に属します】